El mail redirecciona a sitios maliciosos que ejecutan un exploit para robar contraseñas e información.
Kaspersky alertó sobre enlaces maliciosos que aprovechan la muerte del ex presidente de Venezuela, Hugo Chávez, para infectar computadoras y robar información financiera.
A través de enlaces maliciosos en correos que sugieren que la CIA “Eliminó” a Chávez, los cibercriminales ejecutan un exploit en la máquina de sus víctimas que carga diferentes tipos de códigos maliciosos asociados con el robo de la información financiera, así como las contraseñas de los programas y servicios en línea.
Dmitry Bestuzhev, director del grupo de análisis e investigación para Kaspersky Lab, señaló que este tema lo utilizan los criminales para enganchar e infectar a las víctimas. La campaña de ataques maliciosos inicia con correos electrónicos maliciosos enviados de forma masiva a las víctimas.
Los enlaces que contiene el correo redirecciona a un sitio Web legítimo ruso llamado “Znakvoprosa” (“signo de interrogación) que fue hackeado en numerosas ocasiones y reportado en Zone-h como tal.
Cuando la víctima da click en uno de los enlaces del correo, primero se envía al Sitio Web Znakvoprosa.tv y de allí automáticamente redirecciona al sitio Web Porkafadonta.com (“dar nalgadas a Fondot”) ubicado en Bulgaria que utiliza como su ASN a ColoCrossing proveedo, que contiene un JS fuertemente ofuscado que al cumplir con los parámetros requeridos del sistema operativo de la víctima ejecuta el exploit correspondiente.
El exploit aprovecha la vulnerabilidad CVE-2012-0507, y se especula que la campaña de ataque se basa en el exploit kit BlackHole v2.0, aún activa.
Kaspersky detecta el exploit de manera proactiva con el veredicto HEUR:Exploit.Java.CVE-2012-0507.gen por lo que se recomienda ejecutar un análisis en sus equipos y no acceder a correos de remitentes desconocidos.