domingo, 31 de octubre de 2010

Falsas postales de Gusanito infectan al usuario y roban credenciales

Nos han reportado un nuevo caso de postales falsas de Gusanito en donde con el engaño típico de la supuesta postal se busca infecta al usuario.

Este caso en particular se propaga por spam con el siguiente correo:


 
Como puede verse, el enlace no conduce a Gusanito sino que los delincuentes está utilizando el servicio de la empresa Track EmailMarketing para engañar al usuario y además este servicio les permite conocer cuántos usuarios han descargado la supuesta postal (un malware).

Cabe remarcar que este servicio es pago pero ofrece una versión de prueba que puede ser utilizada sin ningún problema para estos objetivos dañinos.

Si se realiza un seguimiento del enlace, se llega al servidor real en donde se encuentra el archivo ejecutable see_postal.exe:

 

El archivo ejecutable se encuentra en los servidores de una institución educativa de Perú y se trata de un troyano desarrollado en México, en lenguaje Visual Basic y es detectado por algunos antivirus.

Actualización 1: Acabo de comprobar que se trata de un troyano que se conecta a un servidor en México para enviar distintos datos del sistema del usuario y de sus contraseñas almacenadas en Internet Explorer, Firefox y MSN. Una vez ejecutado el troyano se agrega en la clave de auto-arranque del sistema operativo y establece una conexión con el servidor y envía la siguiente información a través de GET y recibe instrucciones en un comando codificado en Base64:
Además en la parte inferior se puede verificar la información del dominio y el nombre de su (supuesto) registrante. Me llama la atención el supuesto lugar de residencia, una ciudad que me agrada y aprecio mucho.

Actualización 2: luego de nuestra denuncia a la empresa que provee el servicio de DNS al delincuente, esta fue la respuesta:





 Si palabras... al menos respondieron rápido.

Por suerte con Track Email Marketing hemos tenido mejor suerte y la cuenta ha sido cancelada.


Actualización 3: siguiendo con la investigación de este sitio dañino hemos llegado al verdadero negocio de este delincuente que se dedica a investigaciones informáticas:


Al menos dejan claras sus técnicas de fuerza bruta he ingeniería social, es decir enviar postales falsas como las que dieron origen a este post. Además quizás alguien esté interesado en hacer publicidad en su sitio.

Actualización 4: ahora pueden votar al sitio como dañino en MyWot y así otros usuarios no caen en la trampa.

  cortecia de Segu-Info



Publicado por

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)