En los últimos días nuestras herramientas de detección han detectado dos nuevas olas de ataques mediante correos maliciosos especialmente dirigidos a empresas e instituciones, que mediante ingeniería social intentan engañar a los usuarios para instalar software malicioso en sus equipos.

En la primera de ellas, haciéndose pasar por una actualización de Microsoft Outlook Web Access (OWA), se avisa al usuario que debe ejecutar una aplicación en su ordenador actualizar la configuración de su cuenta de correo. A continuación se muestra una captura de la web fraudulenta.




La dirección URL en el correo electrónico parece que lleva a la página del OWA de la propia empresa, por lo que deberán prestar atención aquellas empresas en las que utilicen este sistema de correo. Una vez se accede a la página, ésta intenta se descargue un binario en el equipo del usuario.

Lo que hace a este mensaje realmente peligroso es que esta personalizado de manera que el usuario piense que el correo ha sido enviado por el equipo de soporte del dominio, spoofeando la dirección del From del mensaje para simular proceder del mismo.

En la segunda ola recibida "Microsoft" nos envía un aviso de actualización critica de Outlook y Outlook Express presentándonos un enlace para descargarlo, A continuación se muestra una captura de pantalla del correo fraudulento.




Es muy importante señalar que en ambos casos NO se explota ninguna vulnerabilidad, sino que simplemente solicita la descarga del binario, por lo que un usuario que se niegue a su descarga y ejecución no resultaría infectado.

En ambos casos el binario que pretenden que instalemos en nuestros ordenadores se corresponden con un mismo troyano, nuestro archiconocido Wnspoem/Zbot (ZeuS). Además la configuración que descarga el troyano es la misma en ambos correos, así que podemos deducir que el grupo de ciberdelicuentes que esta detrás de estos envíos es el mismo.

Como siempre, recomendamos tener cautela con cualquier correo en el que se solicite la descarga de binarios o la introducción de credenciales además de desconfiar de cualquier correo de remitentes desconocidos.



David Ávila
S21Sec e-crime

http://blog.s21sec.com/2009/10/nuevos-ataques-mediante-ingenieria.html