Este envio masivo de correos
fraudulentos se esta produciendo bajo la dirección de mail falsa
subscribe_xxx@correos.es
Los mails están escritos en
perfecto castellano e informan a los usuarios que han recibido un supuesto
envío de un paquete postal a su nombre y que procedan a retirarlo de las
oficinas postales bajo penalización de
cierta cantidad de dinero por concepto de almacenaje.
En estos correos aparece un
enlace fraudulento que se indica al usuario que acceda a él para informarse
sobre el envío.
Si el usuario intenta
acceder a dicho enlace su máquina será comprometida por un troyano. Debido a
que dicho enlace le redirigirá a una pagina donde esta instalado el kit de
infección de origen ruso Blackhole exploit kit
que al visitarlo descargara en su máquina un binario malicioso.
La dirección donde se
encuentra instalada la infraestructura de propagación del troyano es la
siguiente:
hXXp://niceofficecomtristate.info/main.php?page=37c6560ac49c5579
Este dominio
niceofficecomtristate.info esta alojado en la IP 94.185.81.123 perteneciente al proveedor
Netrouting Sweden.
Se puede observar la
pantalla de acceso al panel de control del kit Blackhole.
Este kit descargara el
troyano empleando un conjunto de exploits que aprovechara las versiones
vulnerables de las aplicaciones Flash , PDF , JAVA que tenga instalado el
usuario en su máquina para lograr la infección del equipo y troyanizarlo.
Algunos de los vectores de
infección son:
hXXp://niceofficecomtristate.info/Set.jar à Para JAVA
hXXp://niceofficecomtristate.info/data/ap2.php
à Para PDF
hXXp://niceofficecomtristate.info/data/ap1.php
à Para PDF
Proximamente se realizara un
estudio más amplio con el análisis del troyano que inyecta en los equipos
infectados.
Lo que si esta claro es la
intencionalidad de los criminales de infectar solo a usuarios de España
suplantando a CORREOS lo que indica que intentan capturar el máximo número de
usuarios españoles infectados como victimas de sus próximas campañas de fraude.
Lo más curioso de todo es
que toda la infraestructura de infección esta alojadas en páginas del Hosting
de Portugal PT-ALMOUROLTEC
inetnum: 109.71.40.0 - 109.71.40.255
netname: PT-ALMOUROLTEC
descr: ALMOUROLTEC - Servicos de Informatica
e Internet Lda
La mayoría de las direcciones localizadas que aparecían en
estos correos fraudulentos están alojadas en este proveedor:
Ejemplos de estos enlaces de
descarga del troyano son:
hXXp://transforme.com.pt/correos.es.html
hXXp://madhouse.pt/correos.es.html
hXXp://webgeneration.net/correos.es.html
hXXp://pedroalves.net/correos.es.html
hXXp://qis.pt/correos.es.html
hXXp://t4arquitectos.com/correos.es.html