Archivo octubre, 2009

Distribuyendo malware con videos pornograficos

A la hora de distribuir Malware (software malicioso) entre mas gente resulte afectada es mejor, por eso siempre disfrazan los correos de cosas interesantes que la mayoria de la gente abriria, en este caso pornografia:

ss013

Los enlaces de descarga para el video llevan a otro sitio que esta siendo usado para guardar dicho software (El sitio ya fue contactado acerca de esto).

VideoSinCensura.wma.exe

VideoSinCensura.wma.exe

La descarga esta disfrazada como un .wma (Archivo de sonido de Windows) creo que se les olvido que los de video son .wmv pero bueno… la ultima extension del archivo, que es la que en realidad cuenta, es .exe que son los Archivos ejecutables.

Por el momento este archivo no es detectado por mi antivirus.


No hay Comentarios

Phishing de Abbey

Este correo intenta robar contraseñas de los clientes de la compañia Abbey:

Correo phishing de Abbey

Correo phishing de Abbey

El correo dice provenir de abbey.com, pero los enlaces llevan a una pagina falsa alojado en otro dominio:

Pagina falsa de abby.com

Pagina falsa de abbey.com

El dueño del sitio afectado ha sido contactado, esperemos que haga algo pronto.

No hay Comentarios

Fraude recargas Telcel

Este es un correo anunciando una promocion de Recargar tu saldo por internet para recibir doble saldo. Desde el principio se ve que es falso, ya que el correo lo envio supuestamente hi5. Como ya habia mencionado antes, mandan de direcciones conocidas para evitar que su cliente de correo lo filtre como basura.

Correo recibido

Correo recibido

En la pagina solo hay un formulario para pagar, por favor nadie ponga sus datos, solo les robaran el dinero de su tarjeta de credito.

Pagina pirata

Pagina pirata

Otro signo de que la pagina es falsa es que todos los enlaces llevan a telcel.com, siendo que la pagina esta en un dominio distinto. Esto se usa para simular que la pagina “funciona” y es la original.

Al momento de escribir esta entrada la pagina es detectada por Firefox como peligrosa, por Internet Explorer aun no.

Hasta donde yo se, Telcel nisiquiera tiene un servicio de recarga en linea y si tuviera uno lo tendria dentro de su pagina oficial, que es www.telcel.com.

La empresa donde esta registrado el dominio y la que esta alojando la pagina han sido contactados para reportar este sitio, espero que hagan algo al respecto cuanto antes.

Edicion: La pagina ya ha sido desactivada, aqui la respuesta de Netfirms:

13 de octubre de 2009 07:08

Hello,
We have suspended the domain name in question.  Thank you for notifying us of this phishing site.

Regards,
Chris
www.netfirms.com
Netfirms Abuse Department

No hay Comentarios

Fraudes al renovar dominios (ISP Renewal)

Como muchos saben, los dominios se contratan por periodos de 1 a 10 años, cuando este periodo esta por acabarse hay que pagar de nuevo para renovar el contrato y que el dominio siga siendo tuyo.

Esta compañia ISP Renewal, manda correos masivos a dueños cuyos dominios estan por expirar ofreciendo el servicio de renovarlo con ellos.

La clara estafa esta en que nunca te pide una comprobacion de que eres el dueño, te deja renovar cualquier dominio, ya sea inexistente, de otro propietario, incluso puedes renovar su propio dominio -.-

Sitio fraudulento

Sitio fraudulento

El precio promedio de un dominio esta alrededor de €7 y estos tipos cobran €60! esto en si ya es una estafa, pero teniendo los datos de tu tarjeta de credito nada les impide sacar mucho mas dinero que solo €60.

Solo renueven su dominio en la pagina oficial donde lo registraron.

215 Comentarios

Robo de contraseñas de Runescape (ModApp.exe)

YouTube es el mayor sitio web de vídeos en internet, usado por millones de personas, pero tambien usado por spammers anunciando sus productos o sitios web, asi como estafadores tratando de atraer gente a sus trampas.

El presente ejemplo es para robar contraseñas de Runescape, un juego online con miles de jugadores. Pero se usa para muchos otros juegos similares, los llamados MMORPG (Juegos de Rol Multijugador Masivos en Línea por sus siglas en ingles) como World of Warcraft, Guild Wars, Lineage, Ragnarok, Maple Story y muchos otros.

Si bien muchas personas pueden decir “es solo un juego, a quien le importa”, la realidad es que hay un grandisimo negocio en torno a los juegos online, muchas cuentas tienen estado Premium por el cual se paga una cuota mensual, esas cuentas pueden ser vendidas, robar o vender  los objetos que tengan los personajes por dinero real, etc.

Aunque este ejemplo es relacionado a los juegos, sigue siendo un fraude, y el mismo metodo puede ser usado para otros servicios como bancos, etc.

Estos son dos mensajes en uno de los tantos videos de Youtube:

Mensajes en Youtube

Mensajes en Youtube

El primer mensaje llevaba a una pagina falsa de Runescape donde piden el nombre de usuario y contraseña de los usuarios, no tengo la foto por que la pagina ya esta desactivada.

El segundo mensaje invita al usuario a ser moderador del juego (desde aqui deberian de sospechar que es trampa), el enlace lleva a un sitio de alojamiento de archivos, la descarga es un programa llamado ModApp.exe.

Despues de un exhaustivo analisis de este programa (abrirlo en el bloc de notas y ver que me encuentro jaja) se determina que esta hecho en Visual Basic y trabaja de la siguiente manera:

Cuando el usuario escribe sus datos y da click en Submit se envian a una cuenta de correo, en la cual el estafador podra ver sus datos mas tarde.

Al abrirlo se abre el formulario:

ss014

El formulario pide el nombre de usuario, la contraseña del usuario y otros cuantos datos para no verse tan Solo quiero tu contraseña.

Entre las lineas del programa se hallan estas cadenas, que son la direccion de correo a la que sera enviado el mensaje, la direccion de correo desde la cual sera enviado el mensaje, incluso la contraseña para accesar a esa cuenta y el servidor SMTP que sera usado.

Datos dentro del programa

Datos dentro del programa

Lo que hace el programa es accesar a la cuenta de Gmail y enviar un correo con los datos a la cuenta de Hotmail.

Pues teniendo su contraseña tuve que entrar al correo y explorar un poco :D, en la carpeta de correos enviados habia hasta el momento 52 correos enviados, lo bueno es que la mayoria de la gente no cayo en la trampa y la mayoria solo escribio datos falsos, pero unos pocos parece que si escribieron su contraseña real.

Como un buen ciudadano cambie las contraseñas de ambos correos para que no pueda seguir estafando gente con ellas.

ss022 ss023

Hay que hablar con los niños y jovenes que usan estos servicios y explicarles que no todo lo que ven es cierto, y que algunas ocasiones pueden salir perjudicados.

276 Comentarios