27 septiembre 2012

Ataque masivo de malware bancario.

Desde ayer se están recibiendo decenas de miles de correos electrónicos con un enlace que contiene malware bancario que afecta a usuarios de múltiples entidades financieras.

La gran mayoría de antivirus ya lo detectan, pero en estos casos, siempre acaban encontrando gente con menos conocimientos que acaban picando. Recordad que hay varios gratuitos como Antivir, AVG o Microsoft Security Essentials y los tres lo encuentran.

El correo tiene el siguiente aspecto:



Y textos similares:

"Querido cliente nos ponemos en contacto con usted para informarle de que podria ser victima de la manipulacion de su factura ya que se estan dando casos de enganos y falsificaciones por ello le pediriamos que nos hiciera llegar que le ha llegado dicha informacion pinchando en el archivo adjunto."


Con URLs diferentes y asuntos distintos, tales como:
  • Aunque puede
  • Falsificacion de facturas
  • Manipulacion de facturas
  • Pago no transferido
  • Pago fallido
  • Cuota no abonada
  • Su facturacion
  • La factura e-cologica
  • Error en la transferencia
  • Facturas respetuosas
  • Pongase en contacto con nosotros
  • Infiltracion en las facturas

Si os ha llegado alguno de estos correos, podéis dejar en un comentario el enlace que os haya llegado para tratar de cerrar los sitios lo antes posible.


19 comments :

Álvaro de la Escalera dijo...

Aquí va uno, me llegó esta mañana


http://norlima.com.pt/operacion/Confirmacion.zip?UFubyhYv87OyGvbqOt7IEXa

Pedro J. Delgado Valencia dijo...

http://www.peirs.be/transferencia/Confirmacion.zip



Ya tengo el exe para analizar, otro mas!!!


Salu2!

Pepelux dijo...

Aquí van un par de transferencias:
www.gtoguru.com/confirmacion/Transferencia.zip?id=mi@mail.com
64.176.23.56/confirmacion/Transferencia.zip?vBMxIdgVUxdzd2QiTe2SQ1


Y de facturas también:
ftp.gdskorea.net/operacion/Facturas.zip
norlima.com.pt/confirmacion/Facturas.zip?id=mi@mail.com
ftp.laredcorporativo.com.mx/operacion/Facturas.zip?id=mi@mail.com


Saludos

Carlos Alonso Martínez dijo...

A mí me ha llegado desde esta dirección
Pays

Zlatitan dijo...

A mí me han llegado estas 2 urls:
http://iklancilik.web.id/confirmacion/Transferencia.zip
http://evergreenestates.in/operacion/Transferencia.zip

Josiko dijo...

Ahí van los míos :-)


http://evergreenestates.in/facturas/Transferencia.zip

http://pasticceriabaritalia.it/confirmacion/Transferencia.zip?XziIDVwSnMLh4

Tatanga dijo...

Desde ayer?? Ataque masivo?? Esto es algo que lleva pasando todo el año... más concretamente es una campaña de una botnet de Tatanga. Si que es cierto que está campaña concretamente empezó ayer... pero no es ni la primera ni la última. Actualmente tiene 5.000 ordenadores infectados... que no es nada si lo comparamos con la botnet española de Sinowal pero eh, "ataque masivo" queda mejor en el titular. :-)

Alejandro Ramos dijo...

Como esta vez no, aunque tal vez tu estés mejor informado, seguro que trabajas en alguna empresa puntera del tema. Enga, con Dior.


2012/9/27 Disqus

Hazz dijo...

Gracias Yago. Sois el equipo A de la seguridad informatica en españa. Los mejores y tu Yago su mejor capitán

Angel dijo...

Muchas gracias por estar pendientes de nuestra seguridad en la red, "pa que luego digan" sois GRANDES, un abrazo muy GRANDE amigo Yago

Yago Jesus dijo...

Que va ! el Capitán es José A. Guasch, el es Charly y nosotros sus Ángeles :P

Lucho dijo...

Tu tambien eres GRANDE Angel y si no te consideras aun GRANDE sigue asi que llegaras a ser GRANDE

Tatanga dijo...

La situación laboral de uno importa para opinar? Algunos simplemente nos gusta como hobby... Pero ya os dejo a los 'profesionales'.

Alejandro Ramos dijo...

Si. Mejor. Que para venir a trollear mejor te vas a otra parte



El 28/09/2012, a las 03:45, Disqus escribió:
[image: DISQUS]

Tatanga (unregistered) wrote, in response to Alejandro Ramos:

La situación laboral de uno importa para opinar? Algunos simplemente nos gusta como hobby... Pero ya os dejo a los 'profesionales'.

Link to comment
IP address: 37.1.223.13

Tomas dijo...

Otro ejemplo de correo recibido:

Date: Thu, 27 Sep 2012 23:24:58 -0400
From:
Message-ID: <36521865.00336622895750@myuhuru.com>
To:
Subject: Re: Manipulacion de facturas.
MIME-Version: 1.0
Content-Type: text/plain; charset="windows-1252"
Content-Transfer-Encoding: 8bit
Return-Path: jnc@alfadeltadigital.com
X-MS-Exchange-Organization-PRD: alfadeltadigital.com
Received-SPF: SoftFail (xxxxxxxxxxxxxxxxxxxxxxxxx: domain of transitioning
jnc@alfadeltadigital.com discourages use of 184.107.41.5 as permitted sender)
X-NAI-Spam-Flag: NO
X-NAI-Spam-Level: ***
X-NAI-Spam-Threshold: 5
X-NAI-Spam-Score: 3.5
X-NAI-Spam-Version: 2.2.0.9286 : core <4354> : streams <827113> : uri <12296
X-MS-Exchange-Organization-SCL: 3
X-MS-Exchange-Organization-SenderIdResult: SOFTFAIL


Hola,

Estimado consumidor le comunicamos que podria ser victima de la falsificacion de su factura en un futuro ya que estamos teniendo casos de enganos y falsificaciones por lo que le rogariamos que nos hiciera llegar que ha sido consciente de este e-mail accediendo al enlace expuesto a continuacion.
http://contactsandcompacts.com/confirmacion/Operacion.zip?4N0O2YfCSKjJOpchSIvk7

Felipe Jarenau dijo...

Jejeje, que gracia.

¡Utilizan la mejor forma de ocultar la verdadera extensión del mundo!
El típico .Pdf_________________________________________________________________.exe

Tomas dijo...

Os pego otro ejemplo que me ha llegado hace unos minutos.
Un saludo.

From: inform
To:
Subject: [SPAM] Proceso completado
Date: Fri, 28 Sep 2012 03:29:45 -0400
MIME-Version: 1.0
Content-Type: text/plain; charset="windows-1252"
Content-Transfer-Encoding: 8bit
Return-Path: ted@ols.es
X-MS-Exchange-Organization-PRD: ols.es
Received-SPF: SoftFail (xxxxxxxxxxxxxxxxxxxxxx: domain of transitioning
ted@ols.es discourages use of 184.107.41.5 as permitted sender)
X-NAI-Spam-Flag: YES
X-NAI-Spam-Level: *******
X-NAI-Spam-Threshold: 5
X-NAI-Spam-Score: 7.4
X-NAI-Spam-Rules: 11 Rules triggered
BODY_ONELINER=1, RATWARE_MS_HASH=1, SHORT_SL_W_BODY_ONELINER=1,
SHORT_SL_W_GEN_SPAM_FEATRE_W_BODY_ONELINER=1,
SORT_LNK_1HTP_CTPLN_W_GEN_SPAM_FEATRE=1,
GEN_SPAM_FEATRE_W_BODY_ONELINER=0.9, BLANK_LINES_70_80=0.5,
SORT_LNK_1HTP_CTPLN=0.5, RCVD_SVRID_NUM=0.3, GEN_SPAM_FEATRE=0.2, RV4354=0
X-NAI-Spam-Version: 2.2.0.9286 : core <4354> : streams <827252> : uri <12297
X-MS-Exchange-Organization-SCL: 7
X-MS-Exchange-Organization-SenderIdResult: SOFTFAIL


Le informamos que la accion a sido realizada con exito, le facilitamos el comprobante del proceso de pago de la factura en el enlace expuesto a continuacion.
http://cmiabc.ro/transferencia/Operacion.zip?id=usuario@dominio

[Nota: donde usuario@dominio aparecia mi cuenta de correo en la cual he recibido el mensaje.]

carlojesu dijo...

' se están recibiendo decenas de miles de correos electrónicos' que vienen de antaxan, raticulin y gallimede! siu siu! la paz sea con ustede, siu siu

Ramon M. dijo...

Recibí el otro día un mail supuestamente del BBVA bastante bien hecho. El enlace apunta a:
http://elsold.pl/.redir