Tu buzón a superado el límite- otro phishing scam desde España

Esta vez el correo viene de la Universidad de Oviedo, en España. Según los encabezados aparentemente el correo se origina en una dirección interna 192.168.100.15 que sirvió de enlace a una dirección externa 116.202.155.167. Esta última dirección es interesante, ya que pertenece a India. Luego los saltos intermedios son direcciones que pertenecen a la Universidad hasta que lo recibe bigfish.com.

El "mailer" en este caso es Sun Java System Messenger Express 7.3-11.01 32bit

Received: from FRESNO.NET.UNIOVI.ES (156.35.11.2) by CH1EHSMHS006.bigfish.com (10.43.70.6) with Microsoft SMTP Server id 14.1.225.23; Sat, 22 Sep 2012 02:59:27 +0000Received: from CONVERSION-DAEMON.fresno.net.uniovi.es by fresno.net.uniovi.es (PMDF V6.5 #31845) id <01OKJLRF40NK00N7KQ@fresno.net.uniovi.es> for micorreoen@upslp.edu.mx; Sat, 22 Sep 2012 04:56:56 +0200 (CET)Received: from frc5.sheol.uniovi.es ([156.35.2.182]) by fresno.net.uniovi.es (PMDF V6.5 #31845) with ESMTP id <01OKJLR9UH0E00OTUO@fresno.net.uniovi.es>; Sat, 22 Sep 2012 04:56:49 +0200 (CET)Received: from uniovi.es ([unknown] [156.35.2.182]) by frc5.sheol.uniovi.es (Sun Java(tm) System Messaging Server 7.3-11.01 32bit (built Sep 1 2009)) with ESMTP id <0MAQ00LG3DIKV100@frc5.sheol.uniovi.es>; Sat, 22 Sep 2012 04:56:44 +0200 (CEST)Received: from [192.168.100.15] (Forwarded-For: 116.202.155.167) by frc5.sheol.uniovi.es (mshttpd); Fri, 21 Sep 2012 20:56:44 -0600Date: Fri, 21 Sep 2012 20:56:44 -0600From: =?iso-8859-1?Q?=22JOSE_ALFREDO_MU=D1IZ_ALONSO=22?= <mual @ uniovi.es>Subject: (webmail Administrador) EspanolMessage-ID: <b6d3be0646b529f.505cd48c@uniovi.es>X-Mailer: Sun Java(tm) System Messenger Express 7.3-11.01 32bit (built Sep 1 2009)

Luego el mensaje, me dice que los 2 G que tengo asignados ya se acabaron! y esta cantidad no es la que tenemos disponible. La cuenta de la cual se origina el correo es de un técnico especialista en el área de Química, Física y Analítica de esa Universidad.

El mensaje viene firmado por (webmail Administrador), y la liga para dejar tus datos es una forma en google docs. El dia de hoy esta enlace ya fue desactivado.

En conclusión, el objetivo es obtener cuentas de universidades para seguir enviando este tipo de correos y robar más cuentas de universidades, y poder enviar también otro tipo de correos.

Recuerden no llenar formas en internet donde les piden su información del correo electrónico, su nombre de usuario y contraseñas. Y si a ustedes también les han llegado correos de este tipo, compártanlos para identificar donde se originan.

Vulnerabilidad 0day en Internet Explorer

Primero, una vulnerabilidad 0day es aquella para la cual no hay una solución disponible por parte del proveedor del software. Es decir es un problema sin solución al momento.

Luego de aclarar el punto, hay varia información en Internet sobre esta vulnerabilidad, y la recomendación es: Utilizar la versión 10 de este navegador, o utilizar algún otro navegador.

Según reportes las versiones 9 y anteriores de este navegador son vulnerables a este ataque cuando se visitan sitios web maliciosos o comprometidos, pudiendo tomar el control completo del equipo afectado.

La vulnerabilidad fue detectada en la función execCommand y permite la ejecución de código de forma remota.

Más información en:

• http://blogs.eset-la.com/laboratorio/2012/09/18/alerta-vulnerabilidad-0-day-internet-explorer
• https://community.rapid7.com/community/metasploit/blog/2012/09/17/lets-start-the-week-with-a-new-internet-explorer-0-day-in-metasploit
• http://www.ghacks.net/2012/09/18/new-internet-explorer-0-day-vulnerability-sept-2012/
• http://www.networkworld.com/community/blog/hackers-exploit-0day-kick-ie-curb-or-catch-nasty-poison-ivy-itch

"Tu cuenta de correo será cancelada". Analizando los origenes de un ataque de phishing.

Recientemente hemos recibido varios correos supuestamente de "Webmaster" donde nos invitan a validar nuestros datos de correo electrónico, se lee así:

La configuración del buzón ha caducado según lo establecido por el administrador para 2011, y usted no será capaz de recibir nuevos correos electrónicos hasta que lo revalidar ahora para 2012.

Para volver a validar su dirección de correo electrónico, haga clic en este enlace: hxxp://c0rreo4.webs.com/contactus.htm

Gracias y perdón por las molestias.
Webmail Administrador de Seguridad.

En este correo no nos urgen tanto como en otros, simplemente nos "amenazan" que no podremos recibir mas correos. Están utilizando una variación del ataque conocido como phishing by forms, donde utilizan sitios de formularios gratuitos, aquí los atacantes utilizan el servicio gratuito de webs.com para poner sitios de "Seguridad de Correo Web" donde solo utilizan la opción que les ofrece de crear un formulario para contactos. En este formulario solicitan el nombre, dirección de correo electrónico, contraseña, y verificación de la contraseña.

Los atacantes no solo utilizaban esta dirección, sino que tenían otros webs como
c0rreo, c0rreo1, c0rreo2, c0rreo3, c0rreo4, c0rreo5, c0rreo6, c0rreo7, c0rreo8, c0rreo9. Y en todos ellos tenían la misma plantilla y la misma forma de contacto.

** Estos sitios fueron congelados por un reporte de abuso que se envió a webs.com, y la respuesta fue menos de un día **


Recibimos dos correos en los últimos 30 días, los dos provenían de diferentes cuentas del mismo dominio de la Universidad de Guelph en Canada (uoguelph.ca).

Los encabezados de donde viajaron los correos:

Received: from esa-annu.mail.uoguelph.ca (131.104.91.36) by  AM1EHSMHS001.bigfish.com (10.3.207.101) with Microsoft SMTP Server id  14.1.225.23; Mon, 10 Sep 2012 21:45:50 +0000
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: AiAFAPtdTlCDaFvM/2dsb2JhbABBBAYJhXiwW4V8AYIYMnkSAg0ZAkoYAwGGA4IZC5othk6Hc4pDiEWBIYlrKoR6gRIDgSCMWYdkgRSOK16CMQJPgUAeBQ
X-IronPort-AV: E=Sophos;i="4.80,400,1344225600"; d="scan'208";a="180984676"
Received: from huron.cs.uoguelph.ca (HELO zcs1.mail.uoguelph.ca) ([131.104.91.204])  by esa-annu-pri.mail.uoguelph.ca with ESMTP; 10 Sep 2012  17:43:46 -0400
Received: from zcs1.mail.uoguelph.ca (localhost.localdomain [127.0.0.1]) by  zcs1.mail.uoguelph.ca (Postfix) with ESMTP id 8FE0995A84; Mon, 10 Sep 2012  17:43:43 -0400 (EDT)
Date: Mon, 10 Sep 2012 17:43:43 -0400
From: Webmaster <yli16 @uoguelph.ca>
Reply-To: Webmaster <noreply@webmail.com>
Message-ID: <1995158053.2077968.1347313423437.JavaMail.root@huron.cs.uoguelph.ca>

Subject: =?utf-8?Q?Configuraci=C3=B3n_del_correo_electr=C3=B3nico_ha_caducado!?=
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
X-Originating-IP: [172.17.91.203]
X-Mailer: Zimbra 6.0.10_GA_2692 (zclient/6.0.10_GA_2692)

Received: from esa-annu.mail.uoguelph.ca (131.104.91.36) by  VA3EHSMHS005.bigfish.com (10.7.99.15) with Microsoft SMTP Server id  14.1.225.23; Fri, 31 Aug 2012 21:52:27 +0000
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: AqMGADIxQVCDaFvO/2dsb2JhbABBBAYJhXWwOYVoAYIYMnkSAg0ZAkoYAwGGA4IWC5kxhk2Hc4o0iEWBIYloKoVFgRIDjXWHY4EUjihegi4CT4E+HgU
X-IronPort-AV: E=Sophos;i="4.80,350,1344225600";  d="scan'208";a="179814681"
Received: from erie.cs.uoguelph.ca (HELO zcs3.mail.uoguelph.ca)  ([131.104.91.206])  by esa-annu-pri.mail.uoguelph.ca with ESMTP; 31 Aug 2012  17:51:12 -0400
Received: from zcs3.mail.uoguelph.ca (localhost.localdomain [127.0.0.1]) by  zcs3.mail.uoguelph.ca (Postfix) with ESMTP id E21BEB4034; Fri, 31 Aug 2012  17:51:09 -0400 (EDT)
Date: Fri, 31 Aug 2012 17:51:09 -0400
From: Webmaster <vcraig @uoguelph.ca>
Reply-To: Webmaster <noreply@webmail.com>
Message-ID: <794991496.1400947.1346449869876.JavaMail.root@erie.cs.uoguelph.ca>
Subject: =?utf-8?Q?Configuraci=C3=B3n_del_correo_electr=C3=B3nico_ha_caducado!?=
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
X-Originating-IP: [172.17.91.201]
X-Mailer: Zimbra 6.0.10_GA_2692 (zclient/6.0.10_GA_2692)

 Lo mas interesante de esto es que se puede observar el proceso por donde viaja el correo, y que incluso es analizado por varios productos antivirus y antispam.

Las direcciones donde se originan los correos son internas de la organizacion, y se utiliza el cliente zclient/6.0.10_GA_2692, aunque utilizan diferentes servidores internos de correo, al final provienen de la misma organización. Luego son recibidos por bigfish, que ya pertenece a outlook, donde esta hospedado nuestro correo.

Si buscan en internet zclient/6.0.10_GA_2692 encontraran muchos datos relacionados a spam o scam.

El problema no es el servidor de correo, sino que utilizando las mismas tecnicas, los usuarios maliciosos obtienen información de cuentas validas de Universidades, que  luego utilizan para generar mas campañas. Y al utilizar servicios gratuitos en Internet, se exponen muy poco y pueden obtener grandes ganancias vendiendo las cuentas de correo y el acceso a ellas.

Recomendaciones:

1. No contestes formas en Internet donde te soliciten nombres de usuario y contraseñas, en caso de duda acude con el administrador de tu red a preguntar.
2. Si reconoces sitios que te piden esta información, reportalo con el administrador de tu red, o reportalos tu mismo como abuso en el sitio donde esta hospedada la forma.
3. Si tienes oportunidad contacta al administrador de la otra red para avisar de las cuentas comprometidas, y considera incluir los encabezados de los correos. 

Objetivo:
Difundir noticias e investigación desarrollada por el grupo de Infosec de la Universidad Politécnica de San Luis Potosí.

Bienvenidos