Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

NTN24: Disección de un email malicioso

Más vale ser precavido y no andar por ahí haciendo click en cuanto email vamos recibiendo cada día, a riesgo de ser víctimas de la ciberdelincuencia.

Recibí un email, enviado aparentemente por el servicio de noticias NTN24, en el que me informaban acerca del lamentable accidente del que habría sido víctima Radamel Falcao. El email incluía un link a un video en el que podría descargar y ver un video del terrible accidente

Para tranquilidad de los fans del deportista, el email era puro y simple spam que buscaba distribuir malware. Vea usted:

- Mientras que el email dice haber sido enviado ‘From: ntn24 <noticias@ntn24.com>’, en realidad el email fue enviado por el servidor ‘salomon/serwery/pl’, que para el momento del envío estaba en la dirección IP 85/128/137/xxx. Seguramente es un servidor comprometido que lleva siendo abusado un buen tiempo.

- La dirección IP 85/128/137/xxx, desde la que me fue enviado el mail, está asignada a un ISP en Polonia (NetArt Spolka Akcyjna Spolka Komandytowo-Akcyjna) y hace parte del AS15967 (¿Qué es un ASN?).

- Esta dirección IP está listada como una desde la que se ha distribuido malware y que ha sido usada en campañas de phishing.

- Adicionalmente, el link desde el que supuestamente podía descargar el video del accidente lleva a un dominio registrado bajo el código de país .ru (correspondiente a Rusia), que termina en wwwntn24nuestratelenoticiasradamelfalcao/php - evidentemente buscando convencerme de que sí era un video del accidente.

- El dominio ruso al que llega mi máquina tras hacer click en el link para descargar el video lleva a la dirección IP 195/131/162/xxx, correspondiente al AS6690 y asignada al ISP ruso Web Plus ZAO.

- Una vez que mi computador establece una conexión con esa dirección IP, es re-dirigido a una dirección IP en Francia (88/190/12/xxx) desde la que se inicia la descarga del archivo wwwntn24nuestratelenoticiasradamelfalcaoaccidenteenmonaco2amnewstoday/zip.

- Al descomprimir el archivo .zip se ejecuta el archivo wwwntn24nuestratelenoticiasradamelfalcaoaccidenteenmonaco2amnewstoday/exe y se instala el virus TrojanPWS.AutoIt.Zbot.D, entre otros.

Finalmente, respecto del cuerpo del email:

- Los apellidos del jugador están escritos sin mayúscula inicial.

- No hay tildes en donde debería haberlas.

- La palabra ‘automovilístico’ está mal deletreada (‘automovilistisco’).

- Ni hablar de la redacción y la puntuación.

¿Qué me habría podido pasar?

- Mi máquina habría podido ser infectada con uno o más virus que la habrían podido convertir en parte de una red de computadores controlados por un grupo de delincuentes.

- Esos delincuentes habrían podido usar mi máquina para:

- Robar mis nombres de usuario y claves de acceso a mis cuentas bancarias, a mi cuenta de correo, a mi cuenta de Facebook, a mi cuenta de Skype y a cualquier otra cuenta que yo acceda a través de mi computador.

- Habría podido perder dinero que los atacantes habrían podido extraer directamente desde mi cuenta bancaria, habría podido perder archivos que los atacantes habrían podido borrar o modificar directamente en mi disco duro.

- Mi máquina ha podido ser utilizada para infectar más máquinas.

- Mi máquina ha podido ser utilizada para enviar spam.

- Mi máquina ha podido ser utilizada como un nodo más en una red de distribución de material pirateado de audio, video o gráfico.

- Mi máquina ha podido ser utilizada como un bot más en un ataque de denegación de servicios contra alguna víctima en cualquier parte del mundo.

- Mi máquina ha podido ser usada para alojar contenido gráfico o de video de abuso infantil.

Podría seguir listando más posibles cosas malas que habrían podido pasar, pero en realidad el límite lo pone la creatividad de los atacantes (¡y en algún momento tengo que terminar de escribir esta nota!).

Conclusiones

- Los spammers tienen pésima ortografía y simplemente no saben escribir  :) – por su propio bien, ojalá saquen tiempo ocasionalmente para educarse visitando el sitio de la Real Academia Española.

- No importa en dónde estén los atacantes, ni en dónde estén las víctimas. No importa en dónde estén los servidores siendo abusados, ni el contenido malicioso que está siendo distribuido. Si usted hace click, se convierte en víctima.

- Más vale ser precavido y no andar por ahí haciendo click en cuanto email vamos recibiendo cada día.

- No es mala idea (ironía) instalar un antivirus en el computador y mantenerlo actualizado. Idealmente, antivirus y firewall, hablando de un usuario de hogar. Los productos comerciales de seguridad más conocidos incluyen ambos.

 

Nota: los dominios y las direcciones IP que copié en esta nota están -obviamente- intencionalmente truncados. ¡No quisiera que los lectores caigan víctima de estos spammers!

Saludos desde California,

Carlos S. Álvarez (blogladooscuro@gmail.com)

@isitreallysafe

Este artículo se actualizó por última vez en mayo 2014

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close