Sistemas Afectados
Cualquier usuario que reciba un correo electrónico malicioso del tipo indicado.
Descripción
Se han detectado varias oleadas de correos maliciosos masivos que intentar engañar al usuario para visitar páginas web que tratan de explotar vulnerabilidades para que el usuario descargue una falsa actualización de «Flash Player».
Impacto
Un usuario que haga clic en el enlace del correo y que tenga una versión del programa Adobe Reader y Acrobat que tenga una versión afectada por las vulnerabilidades CVE-2008-2992 y CVE-2009-0927, puede ser víctima de ejecución remota de código por parte del atacante, descarga de software maliciosos, robo de información sensible etc…
Solución
Seguir una serie de pautas con el correo electrónico:
- Descartar el correo que resulte sospechoso.
- No seguir nunca enlaces que vengan dentro de los correos electrónicos (siempre comprobar el enlace real).
- Nunca descargar actualizaciones que no sean de la página oficial del producto.
Detalle
En las últimas horas estamos detectando varias oleadas de correos maliciosos que tienen diferentes contenidos, pero con la misma forma de actuación.
El primer tipo de correo tiene como asuntos de los mensajes son «fotos» o «Mis fotos». En todos los casos, los correos incluyen un enlace a una página web alojada en un servicio gratuito de hosting, que redirigían a direcciones como:
En los casos analizados, estas páginas contienen un iframe (7d22f924509af189f7ff36d4d0dca61f), que trata de explotar las vulnerabilidades de Adobe Reader y Acrobat(CVE-2008-2992 y CVE-2009-0927) de Adobe Reader y Acrobat.
También intenta descargar un fichero denominado update.exe, que se supone que es una actualización del repoductor de Flash Player, el aviso que muestra es:
Utilizan la técnica de fast-flux para dificultar el seguimiento y eliminación de la red. Se han encontrado 865 y 718 IPs cada uno de los dominios monitorizados.
El aspecto del correo es:
Otra de las oleadas de correos que hemos detectado, es una «supuesta» notificación del BBVA sobre una transferencia. En el correo electrónico se incluye un enlace para «consultar» la información.
Este enlace, realmente apunta a:
Que al igual que el caso anterior, redirige a otra página web, que contiene un iframe ecaf2ad43a6f1dada84d573e82874df0, que trata de explotar las mismas vulnerabilidades que en el del correo malicioso anterior, también trata de descargar el mismo fichero (update.exe) y muestra las mismas pantallas.
También utiliza la técnica de Fast-Flux sobre el dominio bbva.es.idlls.ru está siendo monitorizado y actualmente resuelve 290 direcciones IP.
El aspecto del correo es el siguiente: