@isitreallysafe
El email disectado
Recibí un email enviado aparentemente por NTN24 en el que me informaban acerca del lamentable accidente del que habría sido víctima Radamel Falcao. El email incluía un link en el que podría descargar y ver un video del terrible accidente.
Screenshot del email malicioso
Para tranquilidad de los fans del deportista, el email era puro y simple spam que buscaba distribuir malware. Vea usted:
¿De dónde vino ese email?
– Mientras que el email dice haber sido enviado por ‘ntn24 <noticias@ntn24[.]com>’, en realidad fue enviado por virtwww@salomon[.]serwery[.]pl, cuyo servidor para el momento del envío estaba en la dirección IP 85/128/137/xxx. Seguramente es un servidor comprometido que lleva siendo abusado un buen tiempo.
– La dirección IP 85/128/137/xxx, desde la que me fue enviado el mail, está asignada a un ISP en Polonia (NetArt Spolka Akcyjna Spolka Komandytowo-Akcyjna) y hace parte del AS15967 (¿Qué es un ASN?).
– Esta dirección IP está listada como una desde la que se ha distribuido malware y que ha sido usada en campañas de phishing.
Respecto del contenido malicioso:
– El link desde el que supuestamente podía descargar el video del accidente lleva a un dominio registrado bajo el código de país .ru (correspondiente a Rusia), y el URL termina en wwwntn24nuestratelenoticiasradamelfalcao/php – buscando convencerme de que sí era un video del accidente.
– El dominio ruso al que llega mi máquina tras hacer click en el link para descargar el video hace una llamada al servidor ubicado en la dirección IP 195/131/162/xxx, correspondiente al AS6690 y asignada al ISP ruso Web Plus ZAO.
– Una vez mi computador establece una conexión con esa segunda dirección IP, hace una nueva llamada a una tercera dirección IP en Francia (88/190/12/xxx) desde la que se inicia la descarga del archivo “wwwntn24nuestratelenoticiasradamelfalcaoaccidenteenmonaco2amnewstoday/zip” .
– Al descomprimir el archivo .zip se ejecuta el archivo “wwwntn24nuestratelenoticiasradamelfalcaoaccidenteenmonaco2amnewstoday/exe” y se instala el virus en mi máquina.
Respecto del cuerpo del email:
– Los apellidos del jugador están escritos sin mayúscula inicial.
– No hay tildes en donde debería haberlas.
– La palabra ‘automovilístico’ está mal deletreada (‘automovilistisco’).
– Ni hablar de la redacción y la puntuación.
¿Qué me habría podido pasar?
Mi máquina habría podido ser infectada con uno o más virus que la habrían podido convertir en parte de una red de computadores controlados por un grupo de delincuentes.
Esos delincuentes habrían podido usar mi máquina para:
– Robar mis nombres de usuario y claves de acceso a mis cuentas bancarias, a mi cuenta de correo, a mi cuenta de Facebook, a mi cuenta de Skype y a cualquier otra cuenta que yo acceda a través de mi computador.
– Habría podido perder dinero que los atacantes habrían podido extraer directamente desde mi cuenta bancaria, habría podido perder archivos que los atacantes habrían podido borrar o modificar directamente en mi disco duro.
– Mi máquina ha podido ser utilizada para infectar más máquinas.
– Mi máquina ha podido ser utilizada para enviar spam.
– Mi máquina ha podido ser utilizada como un nodo más en una red de distribución de material pirateado de audio, video o gráfico.
– Mi máquina ha podido ser utilizada como un bot en un ataque de denegación de servicios contra alguna víctima en cualquier parte del mundo.
– Mi máquina ha podido ser usada para alojar contenido gráfico o de video de abuso infantil.
– Podría seguir listando más posibles cosas malas que habrían podido pasar, pero en realidad el límite lo pone la creatividad de los atacantes (¡y en algún momento tengo que terminar de escribir esta nota!).
Conclusiones
– Los spammers tienen pésima ortografía y simplemente no saben escribir 🙂 – por su propio bien, ojalá saquen tiempo ocasionalmente para educarse visitando el sitio de la Real Academia Española.
– No importa en dónde estén los atacantes, ni en dónde estén las víctimas. No importa en dónde estén los servidores siendo abusados, ni el contenido malicioso que está siendo distribuido. Si usted hace click, muy probablemente se convertirá en una víctima más.
– Más vale ser precavido y no andar por ahí haciendo click en cuanto email recibe usted cada día.
– No es mala idea (/tono_de_ironía) instalar un antivirus en el computador y mantenerlo actualizado. Idealmente, antivirus y firewall, hablando de un usuario de hogar. Los productos comerciales de seguridad más conocidos incluyen ambos.
Nota: los dominios y las direcciones IP que copié en esta nota están -obviamente- intencionalmente truncados. ¡No quisiera que los lectores caigan víctima de estos spammers!
Saludos desde California,
Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe
Nota: este artículo fue inicialmente publicado por techtarget.com acá.
Comentarios