MalSpam, noticia falsa para infectar con troyano usa acortador de URLs peligroso

Recibimos una denuncia de un correo con una supuesta noticia policial cuyo relato y una pequeña foto que muestra parte de una mujer semidesnuda invita a querer saber más para lo cual han puesto un vínculo junto a la foto.

El texto del falso correo, en portugues, dice:


Investigação tem limites, diz secretária sobre escrivã despida 

O vídeo foi gravado após denúncia feita à corregedoria da Polícia Civil de São Paulo, em junho de 2009, por um homem
que afirmou que a ex-escrivã teria pedido dinheiro para não incluí-lo em uma investigação sobre porte de munição. 
Na gravação, a policial é algemada, jogada no chão e tem as calças tiradas por policiais homens, apesar de solicitar
por várias vezes, que a revista fosse feita por mulheres. Ela foi considerada culpada no processo administrativo movido
pela Polícia Civil e demitida em novembro de 2010.
http://zapt.in/[ELIMINADO]?escriva-tem-roupa-tirada-a-forca.html <-- enlace peligroso
Una captura del correo ilustra como se ve el correo:

Correo con noticia falsa
Objetivo: infectar PC de la víctima

El enlace real es igual al que se exhibe y es un ignoto acortador de URL brasilero. Si el receptor del mensaje cae en la trampa de ingeniería social, será llevado a un sitio que descarga malware:
El troyano en cuestión ha sido analizado unas horas antes en VirusTotal y es detectado por el 50% de los motores antivirus.
El sitio de descarga del malware ya no está activo y el dominio hacía abuso del servicio Free Dynamic DNS quienes probablemente lo desactivaron ante la primer denuncia.

Este tipo de spam es el denominado MalSpam por su carácter malicioso. Combina técnicas de engaño y los mecanismos de envio masivo del spam. El objetivo es infectar la PC sin que uno se de cuenta, para usarla para cometer delitos.

Sorpresa I - Acortador de URLs
Se puede ver en la página de estadísticas del acortador usado en el correo denunciado, que la dirección corta usada para este engaño lleva casi 16.000 visitas, y es la segunda más visitada de los últimos 30 días. No solo eso sino que se ve que los delincuentes han generado varios enlaces al mismo sitio destino de descarga y también con muchas visitas.
Haciendo una verificación de la página completa de los URLs acortados más visitados de los últimos 30 días comprobamos que todos corresponden a descargas de malware o phishing, algunos ya bloqueados por OpenDNS pero varios aún activos.
Este nuevo acortador de URLs está dando un excelente servicio para delincuentes, ya sea en forma intencional o no, cosa que desconocemos. Además el sitio no posee medios de contacto. Y tiene mala reputación en WOT.

Sorpresa II
Algo que también  nos sorprendió en esta investigación fue encontrar un sitio periodístico español, amateur, que se hace eco de esta falsa noticia y la publica en su página.

Hemos contactado de inmediato a su editor advirtiendo del grave error que han cometido, tanto informático como periodístico.

Raúl de la Redacción de Segu-Info

Leer más: Segu-Info: MalSpam, noticia falsa para infectar con troyano usa acortador de URLs peligroso http://blog.segu-info.com.ar/2011/04/malspam-noticia-falsa-para-infectar-con.html#ixzz1IYfviuPz
Under Creative Commons License: Attribution Non-Commercial Share Alike