Inicio Tecnología Notificaciones de Correo de Voz y Correos Electrónicos de ADP Llevan al...

Notificaciones de Correo de Voz y Correos Electrónicos de ADP Llevan al Blackhole Exploit Kit

Desde que Blackhole Exploit Kit 2.0 se introdujo recientemente queríamos dar a nuestros lectores algunos ejemplos de cómo podrían ser expuestos a esta amenaza a través del correo electrónico.

Websense® ThreatSeeker® Network interceptó algunas campañas de correo que tratan de llevar a las víctimas a páginas de Internet que contienen este popular kit de explotación. Algunos de los temas fueron nuevos para nosotros y algunos, ya conocidos.

Uno se hacía pasar como notificaciones de correo de voz de los servidores Microsoft Exchange, otro imitaba recordatorios de facturas de ADP y un tercero agradecía al receptor por haberse suscrito a un servicio de accountingWEB.com. Como otras campañas de ingeniería social maliciosas, estas campañas de correo electrónico tratan de persuadir a las víctimas de abrir enlaces que llevan a páginas que hospedan el Blackhole Exploit Kit. Muchos de los mensajes de correo pretenden ser de fuentes confiables (establecimientos conocidos o la propia infraestructura de la víctima) y tratar de sorprender al lector con la guardia baja al enfocar su atención en algo urgente, como cuestiones de dinero.

Los clientes de Websense están protegidos contra estas amenazas por ACE™ nuestro Advanced Classification Engine.

Los correos electrónicos maliciosos contienen enlaces que llevan a páginas con Blackhole con nueva ofuscación pero no creemos que éstas sean Blackhole 2.0. Aunque sospechamos que no pasará mucho tiempo para que veamos campañas similares que utilicen la nueva versión.

ADP es uno de los servicios de nómina más representativos, así que no nos sorprende que se utilice un correo de notificación falso de ADP como un señuelo.

Este es un ejemplo marcado como de alta prioridad con el asunto “Recordatorio de la Factura ADP”:

Sigamos una de las posibles rutas de redirección:

hxxp://allbarswireless.com/HXwcDdQ/index.html
hxxp://ash-polynesie.com/AjVSXvus/js.js
hxxp://108.60.141.7/tfvsfios6kebvras.php?r=dwtd6xxjpq8tkatb
hxxp://108.60.141.7/links/differently-trace.php

Por favor consulte nuestro blog anterior para saber más sobre la página destino.

A continuación un señuelo diferente – correos electrónicos que pretenden venir del servidor Exchange de la víctima diciéndole que tiene un nuevo correo de voz. El texto invita al lector a pulsar el enlace que dice: “Dé doble clic en el enlace para escuchar el mensaje”.

El Asunto incluye “Correo de Voz de NNN-NNN-NNNN (NN segundos)”:

Aquí, la cadena de redirección es similar:

hxxp://www.tryakbar.com/tLbM3r/index.html
hxxp://sportmania.so/JP3q2538/js.js
hxxp://173.255.221.74/tfvsfios6kebvras.php?r=rs3mwhukafbiamcm

La página a la que se llega muestra contenido similar al ejemplo anterior. Véala aquí.

El Asunto incluye “Usted necesita una nueva versión de seguridad”, “Transacciones suspendidas” y “¡Urgente! ¡Usted debe instalar una nueva versión de seguridad!”.

Una vez más una simple redirección lleva a URLs típicos tipo “/main.php?page=”.

hxxp://kahvikuppi.org/achsec.html
hxxp://afgreenwich.net/main.php?page=0f123fe645ddf8d7

Como parte de la actualización a Blackhole 2.0 es muy probable que veamos URLs como los utilizados en los dos primeros ejemplos en lugar de los dos últimos, debido a la capacidad de generación dinámica de URLs.