SEAMOS NUESTRO PROPIO CSI: Analizando un correo electrónico con malware

       virus-email      Los malos utilizan, desde tiempos “inmemorables“, el correo electrónico para llegar a sus víctimas, una de las utilidades que le dan a esta forma de comunicación es para introducir malware en los equipos de sus víctimas.

     Hace tiempo vi una alerta de seguridad en la red en la página web del Grupo de Delitos Telemáticos de la Guardia Civil sobre un falso telegrama del servicio de correos recibido vía correo electrónico.

      En esta entrada volvemos a ser nuestro propio CSI y vamos a ver, de forma muy sencilla, como detectar y sobre todo como protegernos de este tipo de “ataques de ciego” lanzados para que cualquier internauta que reciba, en este caso el falso telegrama, pueda pasar a ser “cliente” potencial del “ciberdelincuente”.

.

     Informatica-ForenseAunque la alerta y el análisis que hice son antiguos, y parece ser que actualmente no es utilizada, es ideal tomarla como ejemplo para explicar, en esta entrada, como identificar este tipo de engaños. Por eso la utilizaremos y analizaremos de forma muy sencilla de forma que cualquiera que reciba un mensaje similiar pueda ser capaz de analizarlo, evitar sus consecuencias, convirtiéndose en su propio CSI 😉 .

     Por suerte, poco despues de leer la alerta, recibí un mail con el asunto de “Telegrama”, además en la categoría del telegrama podía leía “URGENTE”, lo cual daba más posibilidades para que cualquiera que lo reciba caiga en el engaño.     Que curioso, ¿cómo puedo recibir un telegrama por correo electrónico si yo no he dado mi cuenta de correo al servicio postal de correos?, y en caso de que se lo hubiera facilitado ¿qué sentido tiene enviarme un telegrama por mail?.

      La respuesta…  Utilizan técnicas de Ingeniería Social para, mediante el engaño, hacerse pasar por otra persona o entidad. (ver entrada Ingeniería Social: El Hackin Humano)

    Antes de nada busco en el “oráculo” (google) la cuenta de correo desde donde me envían mi telegrama, el resultado no es otro que lo que me esperaba, se trata de un correo basura, vete tu a saber con que intención.

    emailPues bien, analizando en las “tripas” del correo electrónico, veo que el mismo ha sido remitido desde una conexión a internet (dirección IP) ubicada en Noruega (¿Cómo analizar un correo?). Bueno, puede ser normal allí posiblemente los locales sean mas asequibles y como estamos en crisis Correos querrá ahorrarse unos eurillos en el alquiler de su oficina.

    Vamos a ver, me corroe la curiosidad yo quiero saber que me dicen en mi “Telegrama” y pulso en “Haga click aquí para abrir su Telegrama”,  y me aparece:

     ¡Vaya, parece ser que no va a ser tan sencillo leer mi correo!, ahora resulta que me tengo que descargar un archivo “datos.exe”, y ese archivo viene desde la dirección IP 209.137.145.143. ¡¡Pero bueno una IP de los mismos USA!! ¿tan importante soy? ¿Tanta crisis hay que correos tiene que solicitar ayuda a los americanos para que sufraguen las conexiones de envíos de telegramas?.

    ¡Que le vamos a hacer!, voy a ver realmente desde donde me descarga el archivo, no sea que la IP que pongan esté confundida, seguramente problemas de idioma 😉 ….

    Entre los noruegos y los “yankis” me están liando, ahora resulta que el link de descarga  (borrado parte del link para evitar descargas involuntarias) apunta a una IP brasileña:

http://201.77.208.83/…/GCM……87984546

   Me da a mi que esto no va a ser un telegrama, ¿no querrán jugarme una mala pasada?

   Me he descargado el archivo, pero voy a ver que es realmente antes de ejecutarlo. Para ello voy a utilizar un servicio online mediante el que se pueden comprobar si los archivos que me descargo tienen algún virus e  incluso comprobar los propios links de descarga, esa página se llama https://www.virustotal.com y os recomiendo que la tengais siempre entre vuestros favoritos.

   ¡Caray con el archivito!, resulta que es reconocido por 19 antivirus de 42 como un virus peligroso, que es una “nueva variante de SPY Banker.XXX” y que además se recibe en mail simulando ser un Telegrama.

 

   Este virus tiene como misión anular nuestro antivirus,  infectar los archivos ejecutables del sistema operativo, crea una unidad compartida C, captura correos electrónicos, roba contraseñas del equipo, modifica el “arranque” de nuestro ordenador para poder ejecutarse cada vez que lo encendamos, vamos ¡UNA JOYITA!.

    Menos mal que no he llegado a ejecutarlo, pero si lo hubiera hecho también me dicen en www.satinfo.es  como puedo “limpiarme” utilizando ELISTARA 25.41.

  http://www.zonavirus.com/descargas/elistara.asp

     No olvidéis que en Internet…

Nosotros somos nuestra mayor vulnerabilidad, pero también somos nuestro mejor antivirus.

SI TE GUSTA ESTE BLOG PUEDES VOTARLO EN LOS PREMIOS BITÁCORAS 2015 COMO MEJOR BLOG DE SEGURIDAD INFORMÁTICA

Votar en los Premios Bitacoras.com

     Nos vemos en la Red…

X1RedMasSegura

 

Fuente: Grupo de Delitos Telemáticos de la Guardia Civil, Virus Total, zona virus

email

2 pensamientos en “SEAMOS NUESTRO PROPIO CSI: Analizando un correo electrónico con malware

  1. Pingback: Bitacoras.com

  2. Precisamente acabo de recibir un correoeelectrónico en mi cuenta Web alemana parecido pero con algo mas asustadizo; Me dicen : tienes una fotografía donde aparece desnudo . Pfui me entran ganas de reirme y llorar. Pero como bien dices seamos propios cis

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *