21 de noviembre de 2015

PAYPAL. Nuevo email falso que utliza la imagen de la compañía para distribuir malware

Una nueva de una oleada de correos electrónicos se están distribuyendo haciendo uso de la imagen del servicio de pagos PayPal. 
El mensaje posee un archivo adjunto que cuya extensión es src y que en realidad se trata del instalador de una pieza malware. Originalmente estaba diseñado para afectar a usuarios de Reino Unido.
Sin embargo, ya se sabe que muchas estafas son reaprovechadas por los ciberdelincuentes, y esta no es una excepción. En esta ocasión sí que es verdad que se han tomado muy pocas molestias, ya que el cuerpo del correo ni siquiera ha sido traducido y las unidades monetarias aún se encuentran en libras esterlinas. Con respecto a los demás, la temática es más o menos la esperada y se busca de alguna manera llamar la atención del usuario y provocar que realice la descarga del archivo adjunto. Se indica que desde una compañía se ha llevado a cabo una transferencia de una gran cantidad de dinero a favor del usuario, despertando la curiosidad y provocando que más de uno descargue el adjunto.
Aunque el usuario puede ver la dirección service@paypal.co.uk como el origen del mensaje, en realidad hay que decir que se están utilizando cuentas de Gmail para llevar a cabo la estafa.
Con respecto al archivo, el usuario se puede encontrar dos versiones: con un archivo adjunto o bien con un enlace al archivo.
La estafa de PayPal sirve para distribuir Upatre
  • Expertos en seguridad han llevado a cabo el análisis el archivo adjunto y el existente en el servicio de almacenamiento sharefiles, observando que es el mismo y que se trata de un archivo comprimido que posee un ejecutable src que realiza la instalación de Upatre. En RedesZone ya hemos hablado en numerosas ocasiones de este software no deseado que está destinado a facilitar la instalación de otros programas maliciosos. En esta ocasión se ha detectado que posteriormente se instala una versión del troyano bancario Dyre, que tal y como muchos sabéis está destinado a realizar el robo de las credenciales de acceso a servicios bancarios y también a otros, como por ejemplo de servicios de correo electrónico o mensajería.
  • Este se comunica con una dirección IP que es 197.149.90.166 y que en el caso de creer que se esté infectado se debe bloquear, ya que pertenece al servidor de control del que el malware recibe instrucciones y al que envía la información recopilada.
Fuente: Dynamoo