fraudes por el huracán Dean
Estamos viviendo en México una especie de histeria colectiva avivada por los medios de comunicación. El huracán Dean acaba de entrar al territorio nacional, aunque debido a la colisión con la masa terrestre ha perdido fuerza para caer a la categoría de tormenta tropical. En todo caso, hoy nadie fue a la escuela porque el gobierno federal pensó que era muy peligroso. Yo opino que realmente era muy difícil que un huracán llegara como tal al centro del país pero bueno, de todas maneras las escuelas de nivel básico de aqui no sirven de nada, así que un día más o un día menos de clases no hace ninguna diferencia.
Como es de esperar en situaciones de agitación como esta, pronto aparecerán intentos de fraude, del tipo “tengo 20 relojes Rolex auténticos que saquearon de Veracruz a precios increíbles”. Sin embargo, no van ni 24 horas de la entrada del huracán y ya tengo una interesante pieza de spam que contiene un intento de phishing.
Es un mensaje que contiene una advertencia sobre las rutas que seguirá el huracán, en un conveniente formato .EXE, y que aparenta haber sido originado en la Presidencia de la República. Por supuesto que se trata de un intento de phishing para insertarle un troyano al dueño de la computadora donde se abrió el mensaje, de tal modo que se convierta en zombie de una botnet.
Dos cosas me llaman la atención. Primero: al parecer el mensaje se originó de un servidor de correo sin protección, utilizado como open relay. Este servidor de correo pertenece al dominio lantacliffbeach.com, que corresponde a un spa y resort. En segundo lugar, el archivo EXE está alojado en los servidores de una escuela llamada Instituto Blaise Pascal, en el estado de Oaxaca, aunque es difícil saber si fue obra de algún integrante de la organización o si fueron atacados.
El archivo EXE, llamado lista-huracan-dean.exe, cambia el archivo hosts de Windows contenido en c:\Windows\system32\drivers\etc\ para añadir algunas direcciones. Asocia varios subdominios de banamex.com.mx con la dirección 69.72.195.140, identificada geográficamente con Clifton, en E.U., cerca de Nueva York en el estado de New Jersey. Una inspección rápida solo revela que en esa dirección está corriendo un servidor web Apache 2.0.54 en Fedora Linux.
El correo electrónico está mal redactado, y aunque las faltas de ortografía no saltan a la vista, la capitalización de las frases es muchas veces incorrecta.
Una copia del mensaje se puede ver aquí: spam_fraude.txt
Sobra decirlo, pero igual lo escribiré: no es prudente abrir este tipo de archivos.
Agosto 23rd, 2007 at 12:43 pm
[...] Información en el blog: camino a ninguna parte [...]
Agosto 23rd, 2007 at 3:14 pm
Que cosas! en principio, que es eso de facultad de ciencias climaticas… eso ni existe.
Salu2
Agosto 24th, 2007 at 6:55 pm
[...] ¿Quienes Somos? Ago 24 Troyano lista-huracan-dean.exe Por mikeDejar comentariosNoticias Como históricamente se ha comprobado, cuando hay un desastre natural, siempre hay personas que tratan de sacar provecho de la situación es común escuchar acerca de saqueos y cosas por el estilo, sin embargo este tipo de situaciones han llegado un poco lejos ya que hay un spam circulando por la red “informando” de la ruta que tomara el huracán Dean y esto no es más que un intento de phishing, el correo tiene una liga a un archivo ejecutable que asocia las direcciones de algunos bancos al siguiente IP 69.72.195.140, tengan MUCHO CUIDADO. Información en el blog: camino a ninguna parte [...]
Agosto 26th, 2007 at 1:43 pm
[...] Como ha sido un día lento en noticias, voy a hablar de otro spam malicioso, tal como lo fue el del huracán Dean. [...]