Tienes 2 vuelos totalmente gratis – Phishing de LAN

El siguiente es un ejemplo de phishing que busca infectar a los usuarios con la descarga de un troyano. La excusa para engañarlos son dos vuelos gratis que supuestamente se han ganado con la empresa LAN.

A simple vista el mensaje se ve muy real, incluso hay enlaces que apuntan hacia el sitio de la aerolínea pero cuando se intenta acceder a la información del premio se descarga un troyano .exe que simula ser un documento de Word.

En las siguientes capturas se puede ver el correo falso y el troyano descargado luego de hacer clic:

phishing lan 2 vuelos gratis

troyano que simula ser documento de word

Parece un inocente documento de Word pero en realidad es un archivo ejecutable, pues tiene una doble extensión Lan.docsx.exe que a simple vista no se ve dado que por defecto la visualización de las extensiones se encuentra desactivada en Windows. En VirusTotal lo detectan 10 de 46 motores de antivirus.

Hay que tener mucho cuidado con los enlaces y las descargas que se reciben por e-mail, sobre todo cuando son inesperadas o hacen referencia a suculentos premios.

Pero hay otros detalles de este correo falso que pueden disparar nuestras alarmas, una de ellas es el correo que figura como remitente -sin entrar en detalles del encabezado del mensaje– se puede ver que la dirección es noreply@sonico.com lo cual es muy raro considerando que es la empresa LAN la que nos contacta.

Por otro lado el enlace que descarga el archivo «Lan.docsx» apunta hacia un destino extraño, en el mensaje parece que se realizara desde la página de LAN pero en realidad se realiza desde un dominio .com.mx (ver flecha roja en la captura anterior).

Se trata de un sitio bajo la plataforma WordPress que se encuentra infectado y es aprovechado por los ciberdelincuentes para alojar el malware. En el servidor vulnerable se puede ver al troyano, un archivo action.php que es utilizado para efectuar la descarga y un archivo .txt que funciona como contador de las descargas realizadas. Al momento de escribir este artículo se habían realizado más de 6 mil.

troyano en servidor vulnerado

Este ejemplo de phishing me lo acaba de enviar nato, un lector y colaborador frecuente del blog que sabe detectar estos engaños. Pero incluso él casi cae en la trampa dado que se encuentra suscrito al boletín de la aerolínea, estas fueron sus palabras en el correo que me envió:

Buenas tardes, Alejandro.
Mira este nuevo phishing que hacen a nombre de LAN.
En esta casi caigo, porque sí estoy suscrito al boletín.

Como es cliente en un principio le pareció real, justamente esa es una de las claves de estos ataques de phishing, son más efectivos al ser más personalizados. Para los spammers no sería nada complicado darse una vuelta por las cuentas de Twitter y Facebook de la empresa para recopilar información personal de las personas que los siguen y por ende son «clientes».

Por poner un ejemplo, acabo de entrar a la fanpage de LAN Perú que tiene más de 600 mil seguidores, busqué a un usuario que estuviera realizando consultas sobre destinos de viaje, hice clic en su nombre y sin ser su amigo en Facebook pude ver su correo, su número móvil, lista de algunos familiares, lugar de trabajo, cosas que le gustan y por supuesto, su nombre completo.

Claro que este no es un problema de LAN sino del nivel de privacidad que configuran los usuarios en las redes sociales… pero es un ejemplo de lo sencillo que podría ser personalizar una campaña de phihisng para hacerla más creíble.

Hay que tener precaución con los correos que recibimos, el sentido común nunca lo debemos perder.

Gracias nato por el envío.

5 comentarios en «Tienes 2 vuelos totalmente gratis – Phishing de LAN»

  1. Aca en Peru tambien llego el similar troyano solo 6 Motores de busquedas lo reconoce hasta la fecha y me da mucha pena ya que no es ninguno del antivirus que uso y mas bien de los que no me atrevo a poner porque no son muy conocidos los reconoce que Locura..!!! lo examine en virusTotal y me da estos resultados
    SHA256: aad1a70f80c542c4f1fcf73537e17749769f377e3bb783bf6f4cb1846a7fd96c
    Nombre: DnKAseeYOU.exe
    Detecciones: 8 / 46
    Fecha de análisis: 2013-02-16 08:57:27 UTC ( hace 15 horas, 53 minutos )

    Responder

Deja un comentario