Sitios web vulnerados tratan de ejecutar código malicioso a través de scripts ofuscados

 

Recientemente se nos informó de dos sitios considerados maliciosos, los cuales estaban alojados en México. Descargamos dichos sitios, y visualizamos el código fuente desde un editor de texto plano (para no ejecutar algún script malicioso) constatando que; en ambos casos los portales habían sido vulnerados, inyectando código malicioso. 
 
Solamente en el primer caso, Google Safe Browsing lo detectaba como inseguro; en el segundo caso, el sitio abría sin ninguna restricción. 
 

Suspensión de BancaNet...Phishing contra banco mexicano!!!

En esta ocasión, recibimos la notificación de un correo electrónico supuestamente enviado por el equipo de seguridad de Banamex, en el cual se informa de la “suspensión” de la BancaNet del cliente. Resulta, de cierta forma sencillo, determinar la falsedad del correo a través de la redacción del mismo y que pide la descarga de un archivo adjunto.

Reactivación de Firma Electrónica... Phishing contra banco en Brasil !!!

Hace unos días, recibimos un correo electrónico dirigido a clientes del banco Santander, en el que se les notifica que su Firma Electrónica ha expirado, y  sólo es posible reactivarla a través de los enlaces presentes en el mismo. Para hacer todavía más alarmante el mensaje, se menciona que en caso de no activarla, se hará un cobro por el envío de una nueva Firma.

Envío de supuestos CV’s comprometen equipos para descargar malware

 

Recibimos un correo electrónico el cual trataba de engañar al destinatario por medio de un supuesto CV, presuntamente habían recomendado al remitente la dirección de correo electrónico, por tal motivo éste enviaba su hoja de vida esperando aspirar a un puesto de trabajo. El correo se copia a continuación.
 
&nbs

Supuesta factura PDF contiene malware

Se informó al UNAM – CERT sobre un correo propagado como spam, cuyo asunto indicaba: “Bill payment canceled” (pago de facturas cancelado). 

Dicho correo contenía un archivo adjunto de nombre report 485770.pdf.zip
 

Malware para Brasil se aloja en México

Hace algunos días, se informó al UNAM – CERT sobre una liga que posiblemente estaba propagando malware, dicho sitio se encontraba alojado en México.

A primera instancia, el nombre del archivo nos daba una sospecha sobre el tipo de ataque: Modulo_Santader0943.exe

 

Phishing de Twitter captura información de usuarios

Esta semana recibimos la notificación de una página de phishing a través de la cual se capturaba la información de acceso de usuarios de esta red social. En ésta , se muestra la “vieja” interfaz utilizada hace un año.  

 

Redireccionamiento por medio de Proxys para realizar ataques bancarios

 

Se informó al UNAM – CERT sobre un presunto archivo malicioso, que se aloja en México. Al verificar el portal, el atacante creó una carpeta llamada .system y dentro un archivo con el mismo nombre, system. Generalmente, cuando los atacantes vulneran servidores con sistemas operativos basados en Linux, crean archivos con el prefijo “punto” que estos sistemas operativos interpretan como archivos ocultos. Por ello, la carpeta .system no se mostrará con el comando $ls (list directory contents); ls es similar al comando dir de Windows, que despliega el contenido del directorio, pues por default, los archivos ocultos no son mostrados. 
 
 

Más supuestas postales de Gusanito -Botnet en progreso!!!

El día de ayer recibimos la notificación de un correo supuestamente enviado por Gusanito.com. En el cuerpo, se pueden apreciar varios enlaces que llevan a la descarga de malware y además una Advertencia que trata de prevenir al usuario acerca de correos electrónicos que pretenden ser de gusanito... Algo irónico, por cierto!!!

Nuevo intento de robo de información contra usuarios de Liverpool

El vector de ataque contra usuarios de Liverpool, que les extiende una “invitación” para que actualicen su información de Liverpool y Fábricas de Francia, aparece de nuevo; un ataque muy parecido lo habíamos reportado en este mismo blog en mayo de este año.

El UNAM – CERT fue notificado sobre un supuesto correo enviado por la cuenta de ventasd, de Liverpool. Con el asunto: URGENTE – Actualización Liverpool y Fábricas de Francia.
 
 
Distribuir contenido