Ayer y hoy recibimos reportes de un tipo
phishing no muy usual. Si bien
no es la primera vez que lo vemos, nos pareció interesante compartirlo
con ustedes, debido a la metodología utilizada.
El correo falso con su típico argumento engañoso no trae un enlace a una
página web falsa, sino un formulario en un archivo adjunto que se
menciona en el texto del correo.
En caso que la víctima crea el engaño, al abrir el archivo adjunto verá en su navegador el siguiente formulario:
Se observa la detallada y valiosa información solicitada. Con todo estos datos cualquier inescrupuloso puede realizar
compras a cargo de la víctima.
El código del formulario
PP-042-405-042.shtml, para ocultar el destino de la información que se roba, posee algunas secciones
codificadas de manera de ofuscar su contenido y lectura.
Luedo de
decodificar las secciones ofuscadas se puede analizar:
Ahora si, se identifica el destino de los datos robados:
http://www.games.net.au/error.php el cual es un sitio abusado.
Este sitio de juegos de Australia esta alojado en un proveedor de
hosting del mismo país. Esa empresa respondió por su canal de chat de
soporte desde su propia página web, de forma inmediata y accedieron sin
ningun reparo a solucionar casi de inmediato el problema. De tal manera
quedó desactivado el mecanismo de recepción de la información robada.
También nos indicaron la dirección de correo destino a donde el archivo
error.php enviaba la información robada.
Conclusión: aunque este correo
phishing no poseía ningún
enlace, si tenía un archivo adjunto. De una u otra forma es válida la recomendación de
no abrir nunca en los correos ni enlaces ni adjuntos no solicitados o habituales.
Raúl de la Redacción de Segu-Info
