Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

04 diciembre 2014

Correos con TorrentLocker y otros "regalitos"




Desde al menos ayer se está alertando por un envío masivo de falsos correos que simulan provenir de la Sociedad Estatal de Correos y Telégrafos. El propósito es llevar a los usuarios a descargarse una variante del ransonware TorrentLocker que cifra los archivos del equipo afectado y sus unidades de red. Por el momento no se conoce el método de desinfección.

En la página del CSIRT-CV podéis ver un resumen de cómo funciona y las pantallas que saca:

Para prevenirlo, es recomendable bloquear el acceso a los siguientes dominios:

correos24.net
correos-online.org
chooseyourhost.ru

Snort también detecta como maliciosas las peticiones a las IP del tipo 46.161.30.*


Como en otras ocasiones, el equipo de SecuritybyDefault ha sido el primero en dar la voz de alarma. Gracias también a Maite por sus aportaciones. Yo me limito a resumir lo que ido recopilando y retuiteando; para que, viéndolo aquí todo junto resulte más fácil si alguien no estaba al tanto.

Curiosamente, el periodista Brian Krebs también advierte de una campaña de malware que llega como una pretendida confirmación de envío de un paquete. Aunque, en este caso, no se trata de un ransonware, sino del Asprox spam botnet, que intenta quedarse con nuestras contraseñas y convertir nuestro equipo en un zombi; pero, al menos, no cifra su contenido. Al parecer, la campaña empezó por Acción de Gracias.

Por lo anterior, parece que los malos aprovechan que es una época de compras, cuando la gente espera recibir paquetes, para enviarnos un regalo envenenado.

Actualización:

En la nota actualizada del CSIRT-CV nos informan de que está misma campaña de #TorrentLocker  se está dando en otros países, como Holanda e Italia.

Por otra parte, en Security by Default piden a todos aquellos que hayan podido ser afectados que colaboren dando detalles (de forma anónima) para facilitar la investigación de lo que han dado en llamar el #CorreosGate. Tratan de localizar el posible origen del hackeo de listas de correo; ya que, en muchos casos, está llegando a cuentas corporativas que la gente suele usar para registrarse en sitios en los que confía.

Actualizo también las referencias más abajo con un par de apuntes técnicos de INCIDE y Fox It


Seguiremos informando. Toda la actualidad en Twitter: #TorrentLocker

Referencias:

No hay comentarios:

Publicar un comentario

A penny for your thoughts