El correo dice así (errores incluidos):
La captura del correo falso se ve así:copy_118255371.doc (564kb) <- (vínculo malicioso)
________________________________________
Segue em anexo o comprovante de depósito em conta corrente do ressarcimento do contrato n° 118255371.
Pedimos que confira seus dados e extrato e verifique se todas as informações e valores estão corretos.
________________________________________
Atenciosamente,
Departamento Financeiro
Banco Votorantim S/A
www.bvfinanceira.com.br
Av. Brigadeiro Faria Lima, 1948 - São Paulo - SP
(11) 3345-9988 /3345-7766
El enlace malicioso en el correo http://[ELIMINADO]rpa.gob.mx/financeiro.html?id=http://www.bvfinanciera.com.br/anexo/sistema/34975983258953893245
lleva a un sitio gubernamental mexicano que ha sido comprometido por los delincuentes.
Aquí aparece la página del sitio gubernamental mexicano que simula ser la descarga del comprobante de depósito mencionado en el correo.
El vínculo de la descarga http://www1.a[ELIMINADO].gov.co/financeirobv.exe remite a un sitio gubernamental colombiano que aloja el troyano en cuestión. El archivo financeirobv.exe es un troyano que al momento de escribir esta nota solo detectan 2 motores antivirus en el sitio Virustotal.
Origen del correo
Usualmente este tipo de correo suelen provenir desde equipos infectados, zombies parte de una botnet. Pero en este caso no encontramos con la particularidad que proviene del servidor de correo de una organización brasilera educativa. Ello se podría explicar por un abuso del servicio de correo, lo cual de cierta forma ya se comprueba el ver que el remitente no corresponde al dominio de la institución en cuestión. Apropiadamente configurado el servidor, no debería permitir esto.
Como es costumbre desde Segu-Info hemos notificado a los sitios gubernamentales mexicano y colombiano sobre el abuso de sus sitios al igual que al responsable del servidor de correo brasilero abusado.
Raúl de la Redacción de Segu-Info
Deje su comentario