Desde ayer se están recibiendo decenas de miles de correos electrónicos con un enlace que contiene malware bancario que afecta a usuarios de múltiples entidades financieras.
La gran mayoría de antivirus ya lo detectan, pero en estos casos, siempre acaban encontrando gente con menos conocimientos que acaban picando. Recordad que hay varios gratuitos como Antivir, AVG o Microsoft Security Essentials y los tres lo encuentran.
El correo tiene el siguiente aspecto:
Y textos similares:
"Querido cliente nos ponemos en contacto con usted para informarle de que podria ser victima de la manipulacion de su factura ya que se estan dando casos de enganos y falsificaciones por ello le pediriamos que nos hiciera llegar que le ha llegado dicha informacion pinchando en el archivo adjunto."
Con URLs diferentes y asuntos distintos, tales como:
- Aunque puede
- Falsificacion de facturas
- Manipulacion de facturas
- Pago no transferido
- Pago fallido
- Cuota no abonada
- Su facturacion
- La factura e-cologica
- Error en la transferencia
- Facturas respetuosas
- Pongase en contacto con nosotros
- Infiltracion en las facturas
Si os ha llegado alguno de estos correos, podéis dejar en un comentario el enlace que os haya llegado para tratar de cerrar los sitios lo antes posible.
19 comments :
Aquí va uno, me llegó esta mañana
http://norlima.com.pt/operacion/Confirmacion.zip?UFubyhYv87OyGvbqOt7IEXa
http://www.peirs.be/transferencia/Confirmacion.zip
Ya tengo el exe para analizar, otro mas!!!
Salu2!
Aquí van un par de transferencias:
www.gtoguru.com/confirmacion/Transferencia.zip?id=mi@mail.com
64.176.23.56/confirmacion/Transferencia.zip?vBMxIdgVUxdzd2QiTe2SQ1
Y de facturas también:
ftp.gdskorea.net/operacion/Facturas.zip
norlima.com.pt/confirmacion/Facturas.zip?id=mi@mail.com
ftp.laredcorporativo.com.mx/operacion/Facturas.zip?id=mi@mail.com
Saludos
A mí me ha llegado desde esta dirección
Pays
A mí me han llegado estas 2 urls:
http://iklancilik.web.id/confirmacion/Transferencia.zip
http://evergreenestates.in/operacion/Transferencia.zip
Ahí van los míos :-)
http://evergreenestates.in/facturas/Transferencia.zip
http://pasticceriabaritalia.it/confirmacion/Transferencia.zip?XziIDVwSnMLh4
Desde ayer?? Ataque masivo?? Esto es algo que lleva pasando todo el año... más concretamente es una campaña de una botnet de Tatanga. Si que es cierto que está campaña concretamente empezó ayer... pero no es ni la primera ni la última. Actualmente tiene 5.000 ordenadores infectados... que no es nada si lo comparamos con la botnet española de Sinowal pero eh, "ataque masivo" queda mejor en el titular. :-)
Como esta vez no, aunque tal vez tu estés mejor informado, seguro que trabajas en alguna empresa puntera del tema. Enga, con Dior.
2012/9/27 Disqus
Gracias Yago. Sois el equipo A de la seguridad informatica en españa. Los mejores y tu Yago su mejor capitán
Muchas gracias por estar pendientes de nuestra seguridad en la red, "pa que luego digan" sois GRANDES, un abrazo muy GRANDE amigo Yago
Que va ! el Capitán es José A. Guasch, el es Charly y nosotros sus Ángeles :P
Tu tambien eres GRANDE Angel y si no te consideras aun GRANDE sigue asi que llegaras a ser GRANDE
La situación laboral de uno importa para opinar? Algunos simplemente nos gusta como hobby... Pero ya os dejo a los 'profesionales'.
Si. Mejor. Que para venir a trollear mejor te vas a otra parte
El 28/09/2012, a las 03:45, Disqus escribió:
[image: DISQUS]
Tatanga (unregistered) wrote, in response to Alejandro Ramos:
La situación laboral de uno importa para opinar? Algunos simplemente nos gusta como hobby... Pero ya os dejo a los 'profesionales'.
Link to comment
IP address: 37.1.223.13
Otro ejemplo de correo recibido:
Date: Thu, 27 Sep 2012 23:24:58 -0400
From:
Message-ID: <36521865.00336622895750@myuhuru.com>
To:
Subject: Re: Manipulacion de facturas.
MIME-Version: 1.0
Content-Type: text/plain; charset="windows-1252"
Content-Transfer-Encoding: 8bit
Return-Path: jnc@alfadeltadigital.com
X-MS-Exchange-Organization-PRD: alfadeltadigital.com
Received-SPF: SoftFail (xxxxxxxxxxxxxxxxxxxxxxxxx: domain of transitioning
jnc@alfadeltadigital.com discourages use of 184.107.41.5 as permitted sender)
X-NAI-Spam-Flag: NO
X-NAI-Spam-Level: ***
X-NAI-Spam-Threshold: 5
X-NAI-Spam-Score: 3.5
X-NAI-Spam-Version: 2.2.0.9286 : core <4354> : streams <827113> : uri <12296
X-MS-Exchange-Organization-SCL: 3
X-MS-Exchange-Organization-SenderIdResult: SOFTFAIL
Hola,
Estimado consumidor le comunicamos que podria ser victima de la falsificacion de su factura en un futuro ya que estamos teniendo casos de enganos y falsificaciones por lo que le rogariamos que nos hiciera llegar que ha sido consciente de este e-mail accediendo al enlace expuesto a continuacion.
http://contactsandcompacts.com/confirmacion/Operacion.zip?4N0O2YfCSKjJOpchSIvk7
Jejeje, que gracia.
¡Utilizan la mejor forma de ocultar la verdadera extensión del mundo!
El típico .Pdf_________________________________________________________________.exe
Os pego otro ejemplo que me ha llegado hace unos minutos.
Un saludo.
From: inform
To:
Subject: [SPAM] Proceso completado
Date: Fri, 28 Sep 2012 03:29:45 -0400
MIME-Version: 1.0
Content-Type: text/plain; charset="windows-1252"
Content-Transfer-Encoding: 8bit
Return-Path: ted@ols.es
X-MS-Exchange-Organization-PRD: ols.es
Received-SPF: SoftFail (xxxxxxxxxxxxxxxxxxxxxx: domain of transitioning
ted@ols.es discourages use of 184.107.41.5 as permitted sender)
X-NAI-Spam-Flag: YES
X-NAI-Spam-Level: *******
X-NAI-Spam-Threshold: 5
X-NAI-Spam-Score: 7.4
X-NAI-Spam-Rules: 11 Rules triggered
BODY_ONELINER=1, RATWARE_MS_HASH=1, SHORT_SL_W_BODY_ONELINER=1,
SHORT_SL_W_GEN_SPAM_FEATRE_W_BODY_ONELINER=1,
SORT_LNK_1HTP_CTPLN_W_GEN_SPAM_FEATRE=1,
GEN_SPAM_FEATRE_W_BODY_ONELINER=0.9, BLANK_LINES_70_80=0.5,
SORT_LNK_1HTP_CTPLN=0.5, RCVD_SVRID_NUM=0.3, GEN_SPAM_FEATRE=0.2, RV4354=0
X-NAI-Spam-Version: 2.2.0.9286 : core <4354> : streams <827252> : uri <12297
X-MS-Exchange-Organization-SCL: 7
X-MS-Exchange-Organization-SenderIdResult: SOFTFAIL
Le informamos que la accion a sido realizada con exito, le facilitamos el comprobante del proceso de pago de la factura en el enlace expuesto a continuacion.
http://cmiabc.ro/transferencia/Operacion.zip?id=usuario@dominio
[Nota: donde usuario@dominio aparecia mi cuenta de correo en la cual he recibido el mensaje.]
' se están recibiendo decenas de miles de correos electrónicos' que vienen de antaxan, raticulin y gallimede! siu siu! la paz sea con ustede, siu siu
Recibí el otro día un mail supuestamente del BBVA bastante bien hecho. El enlace apunta a:
http://elsold.pl/.redir
Publicar un comentario