Buenas tardes compañeros laneros.
Vengo acá otra vez con noticias de seguridad.
resulta que últimamente he recibido dos correos supuesta mente de FaceBook, y lo peor de todo es que LLEGA AL INBOX, demostrando esto que los filtros anti-spam no sirven.
a continuación muestro dos capturas de los correos que llegan a la bandeja de entrada, y que pueden pasar por correos originales de FaceBook
lo primero que me di cuenta es que cuando paso por el puntero por el el remitente para saber los datos me aparecen dos direcciones desde donde se envió (correo electrónico) los cuales son:
los cuales como nos podemos dar cuenta no tienen nada que ver con el servidor propio de facebook que seria de la forma, mas o menos:
(es solo un ejemplo).
Otra cosa que nos debemos dar cuenta es que el mail no dice específicamente para quien va dirigido, tiene un simple "Hola:", cuando generalmente estos correos tienen el nombre de la persona. (esta es la clave, pues la mayoría de los spam siempre están dirigidos a algo muy general).
otra de las cosas que me llamo mucho la atención es que cuando se pasa por encima, con el cursor, de los vínculos que el spam trata de hacernos clickiar en la parte de abajo del navegador (en mi caso chrome) aparece una url de la forma
la cual nada tiene que ver con las urls de facebook que seria de la forma
esto es solo un ejemplo.
esta clase de urls es utilizando un servicio que se llama acortador de urls, y es utilizada por estas personas para enmascarar la verdadera url a la cual se va a redirigir una ves se haga click en estos vinculos.
NO ABRIR A NO SER QUE SEPAS LO QUE HACES
Cuando se abren estos dos vínculos, uno aparece como que se esta cargando una foto de facebook, y que por no tener instalado un java applet se hace necesario instalarlo (he aquí la ingeniería social), a pesar de que tengamos todo instalado nos va a aparecer esto, ademas nos aparece una advertencia que si queremos ejecutar la aplicación, si le damos si, se nos instalara un troyano que tiene el siguiente nombre FB-msn.exe, si no aceptamos, de igual forma se descargara un archivo FB-msn.exe (el mismo anterior), pero con la facultad que se debe ejecutar por la persona.
acá cabe resaltar que si se acepta la ejecución del programa,el troyano se instala solo, si no se acepta, se descarga un .exe que el usuario debe ejecutar
La otra pagina la hicieron parecida al centro de ayuda de facebook, y en la cual aparece la instrucción de aceptar el java applet, el cual si aceptamos se nos instala el troyano, y si no vuelve a descargarse, para que el usuario lo ejecute.
Me tome el trabajo de hacer un escaneo del troyano, y solo lo reconocen dos antivirus, y esto es preocupante, pues mientras se actualizan la firma de virus de todos los antivirus, mucha gente se contaminara.
a continuación pongo el informe de virustotal:
https://www.virustotal.com/file/0e1...555f33e64341e0ea5b535041/analysis/1340229085/
al momento de re-escanearlo aumento el rate de detecciones, eso es muy Buena noticia
Pero igual, debemos tener mucho cuidado pues con solo cambiar los OFFSETS del anterior malware, se puede volver a indetectavilizar
POR UN INTERNET MAS SEGURO
:chino:
me acaba de llegar un nuevo correo de estos de facebook, y solo me preocupa algo..... ¿cuánta gente en este momento se estará contaminando?
la url acortada es la siguiente:
como podemos ver lo único que cambio fue el acortador de url, lo de mas es lo mismo!!
Vengo acá otra vez con noticias de seguridad.
resulta que últimamente he recibido dos correos supuesta mente de FaceBook, y lo peor de todo es que LLEGA AL INBOX, demostrando esto que los filtros anti-spam no sirven.
a continuación muestro dos capturas de los correos que llegan a la bandeja de entrada, y que pueden pasar por correos originales de FaceBook
lo primero que me di cuenta es que cuando paso por el puntero por el el remitente para saber los datos me aparecen dos direcciones desde donde se envió (correo electrónico) los cuales son:
Código:
facebook@impsat.net
fbabusos@mercadeo.porvenir.com.co
Código:
XXXXXXXX@facebook.com
Otra cosa que nos debemos dar cuenta es que el mail no dice específicamente para quien va dirigido, tiene un simple "Hola:", cuando generalmente estos correos tienen el nombre de la persona. (esta es la clave, pues la mayoría de los spam siempre están dirigidos a algo muy general).
otra de las cosas que me llamo mucho la atención es que cuando se pasa por encima, con el cursor, de los vínculos que el spam trata de hacernos clickiar en la parte de abajo del navegador (en mi caso chrome) aparece una url de la forma
Código:
http://tiny.cc/lbg7fw
http://is.gd/OkOBZr
Código:
facebook.com/WDSRF$%&%FDDFHGSG
esta clase de urls es utilizando un servicio que se llama acortador de urls, y es utilizada por estas personas para enmascarar la verdadera url a la cual se va a redirigir una ves se haga click en estos vinculos.
NO ABRIR A NO SER QUE SEPAS LO QUE HACES
Código:
http://tiny.cc/lbg7fw redirige a: http://facebook-reports.sytes.net/
http://is.gd/OkOBZr redirige a: http://facebook-fotos.myvnc.com/
Cuando se abren estos dos vínculos, uno aparece como que se esta cargando una foto de facebook, y que por no tener instalado un java applet se hace necesario instalarlo (he aquí la ingeniería social), a pesar de que tengamos todo instalado nos va a aparecer esto, ademas nos aparece una advertencia que si queremos ejecutar la aplicación, si le damos si, se nos instalara un troyano que tiene el siguiente nombre FB-msn.exe, si no aceptamos, de igual forma se descargara un archivo FB-msn.exe (el mismo anterior), pero con la facultad que se debe ejecutar por la persona.
acá cabe resaltar que si se acepta la ejecución del programa,el troyano se instala solo, si no se acepta, se descarga un .exe que el usuario debe ejecutar
La otra pagina la hicieron parecida al centro de ayuda de facebook, y en la cual aparece la instrucción de aceptar el java applet, el cual si aceptamos se nos instala el troyano, y si no vuelve a descargarse, para que el usuario lo ejecute.
Me tome el trabajo de hacer un escaneo del troyano, y solo lo reconocen dos antivirus, y esto es preocupante, pues mientras se actualizan la firma de virus de todos los antivirus, mucha gente se contaminara.
a continuación pongo el informe de virustotal:
https://www.virustotal.com/file/0e1...555f33e64341e0ea5b535041/analysis/1340229085/
al momento de re-escanearlo aumento el rate de detecciones, eso es muy Buena noticia
Pero igual, debemos tener mucho cuidado pues con solo cambiar los OFFSETS del anterior malware, se puede volver a indetectavilizar
POR UN INTERNET MAS SEGURO
:chino:
me acaba de llegar un nuevo correo de estos de facebook, y solo me preocupa algo..... ¿cuánta gente en este momento se estará contaminando?
la url acortada es la siguiente:
Código:
http://rod.gs/Xvn redirige a: http://facebook-reports.sytes.net/