martes, 22 de noviembre de 2022

¡LA CAMPAÑA DE PHISHING DE ANTIVIRUS FALSOS DE McAfee ESTÁ DE VUELTA!

Ayer recibí este correo electrónico de que mi suscripción antivirus de McAfee ha caducado y que mi equipo ya está infectado con 5 virus (¿cómo lo saben?). El contenido general de este correo electrónico es simple y directo al grano y es similar a algo que Xavier publicó a principios de este año.


El correo electrónico suena aterrador (infectado con malware), sin embargo, algunas pistas del encabezado del correo electrónico, el remitente no es McAfee, lo que sea que me pidan que haga, indican que soy el objetivo de un correo electrónico de phishing y es probable que quieran dinero.



El cuerpo del correo electrónico afirma que ya estoy comprometido y para resolver el problema es primero ejecutar un escaneo en línea contra mi host. Copié la URL oculta en CONTINUE y utilicé wget para obtener una copia del sitio. Estos son los resultados paso a paso:



Y encontró 35 virus dañinos en mi computadora.




Por último, los resultados del escaneo y qué malware se encontró en la PC. El correo electrónico inicial afirmaba que la computadora estaba infectada con5virus, luego35y, por último, después del escaneo final, solo hayuno.

 


Lo que me pareció interesante, no importaba cuántas veces ejecutaba el escaneo, siempre devolvía los mismos resultados (escaneo en vivo y con la copia wget). Virustotal tiene una detección muy baja y con 2 proveedores que identifican esto como spam. Sentí curiosidad y busqué Tapsnakey resultó que "es una estafa de scareware que implica coerción para comprar protección contra un virus informático inexistente que se ha distribuido de varias maneras". Al final, nunca recibí una copia del antivirus McAfee.

 

Una última cosa, revisé la información de Whois del dominio para ver cuándo se registró o actualizó este dominio, esto a menudo puede ofrecer algunas pistas si se usa con fines maliciosos. Lo suficientemente interesante, este dominio se actualizó hoy. Aquí está el resumen de la lista actual:

 

Nombre de dominio: collectyoursordersnow.com

Registry ID de dominio: 2699308613_DOMAIN_COM-VRSN
Registrador WHOIS Server: whois.namesilo.com
URL del registrador: https://www.namesilo.com/
Fecha actualizada: 2022-11-19T07:00:00Z Fecha de creación: 2022-05-26T07:00:00Z Fecha de caducidad del registro del registrador: 2023-05-26T07:00:00Z


Registrador: NameSilo, LLC


Fuente: isc.sans.edu


No hay comentarios.:

Publicar un comentario

Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

 Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...