top of page
Buscar

Análisis de correos electrónicos: Infracción

  • K
  • 23 oct 2024
  • 3 Min. de lectura

Nuevamente aqui me encuentro un poco aasustado, tengo que abonar una multa de casi 700mil pesos o en dolares 560. Una locura lo que cobran de multa por el exceso de velocidad. Pero claro... esto no es real... lo aparecenta, pero no lo es. Y como digo siempre no subestimemos a esto, porque si lo envían, es porque sirve y sirve porque alguien cae.


La siguiente imagen corresponde al correo que me llego a mi correo, a mi bandeja de entrada, no me llego a No deseado.


ACLARACION: este análisis lo estoy realizando en un entorno seguro aislado de mi equipo principal


Como siempre digo, hay que empezar de arriba hacia abajo y de izquierda a derecha, como se lee por estos continentes.


Sender: info@lionheartexteriorcleaning[.]co[.]uk

Raro no? dominio que no es Argentino... es UK.

Si visitan el sitio es una pagina de limpieza de UK, esto claramente es una cuenta que fue vulnerada, secuestrada. (Ya se dio aviso para que lo tengan en cuenta)


Asunto: Notificación de Infracción de Tráfico

Esto esta bien, con esto caigo, pero con el resto no.


Cuerpo del mensaje:

Tiene una fecha reciente de envio, dice que mi Vehiculo tiene infracción, no me dice la patente, raro.

Tiene fecha de pago que ya se estaría venciendo, me pone en un apuro, pero bueno, no me dice nada si no la pago.

Y lo mas "importante" y peligroso es el link (si hacen click los redirige a mi pagina, a esta pagina ) Y si leen abajo en Rojo dice :

Nota: El acceso solo está disponible desde computadora.


Esto es porque lo que debe tener dentro de la pagina es un malware para Windows

A primera vista y leyendo tampoco tiene que ver mucho con las infracciones. Si investigan un poco mas van a ver que esta pagina esta registrada por alguien que se dedicaba a administración de edificios o algo asi y se ve que se la vulneraron (tambien ya se dio aviso)


Tengan presente que esta pagina se abrio en un entorno seguro, no lo hagan en sus computadoras personales por curiosos. Y si lo hacen que sea en una maquina virtual. De todas formas si clickean en descargar o en algún boton, al momento de hacer esto no descarga nada ni ingresa a nada.


Entonces el análisis termina ahi porque es el payload que esta desactivado.


Pero también hay información de relleno que hace que el correo parezca mas legitimo de lo falso.

Teléfono falso, pagina "legitima", dirección random, firma.


"""

Teléfono: 0800-123-4567 (Lunes a Viernes, 8:00 - 18:00)

Web: www[.]transporte[.]gob[.]ar/infracciones

Ministerio de Transporte de la República ArgentinaAvenida del Libertador 250, Buenos Aires, Argentina © 2024 Ministerio de Transporte

"""


Y no hay mucho mas no? Nuevamente parece tonto, parece que nadie va a caer en esto, quien pensaría que puede entrar y descargar el archivo?

De verdad que funciona esta estafa, esta infección que seguramente roba datos de tu equipo, es por eso que lo hacen, es por eso que se toman el trabajo los actores maliciosos.

En el caso que alguien descargue y ejecute el supuesto documento se instala un programa que les envie todo lo que haces, como tus contraseñas y usuarios de bancarios, correos, etc.


Espero que haya sido lo bastante claro de entender, no vimos nada técnico, simplemente lo visual que con eso alcanza y sobra ( en este caso…..)


Correo catalogado como Malware.



K.

bottom of page