Hace algunas semanas comenté un caso muy parecido, los atacantes enviaron correos falsos simulando ser CinePlanet, una cadena de cines de Perú, para infectar a los usuarios con descargas maliciosas.
En los últimos días circuló una variante del mismo ataque y aún sigue activo, así que tengan cuidado. En esta oportunidad les hacen creer a las víctimas que se ganaron un LCD para que completen un formulario que se debe descargar:
El formulario en realidad es un troyano form_LCD.exe (16/42), si se presta atención a la siguiente captura se puede ver que el destino del enlace es un dominio .info. Los atacantes registraron la dirección cineplanet .info (no entrar) para engañar a sus víctimas (la dirección real es www.cineplanet.com.pe):
Nota: no entrar al dominio .info porque podrías infectar tu computadora.
Una vez que las víctimas hacen clic se descarga el troyano .exe que simula ser un formulario del LCD:
Como vemos, es un ataque bastante elaborado aunque hay algunos detalles para sospechar como las faltas de ortografía y la forma general de dirigirse a los ganadores “Estimado(a) : Usuario de Cineplanet”… si realmente hubieras ganado un premio al menos sabrían tu nombre.
CinePlanet por su parte ha publicado un aviso en su página de Facebook y Twitter para alertar a todos los clientes. Para un investigador o apasionado por la seguridad puede ser muy interesante leer los comentarios de los usuarios, hay de todo tipo, algunos detectaron el engaño gracias al sentido común, otros no.
Por ejemplo, vemos el siguiente:
Como siempre recibe mensajes promocionales en un principio creyó que era algo real, intentó abrir el formulario y la descarga le pareció sospechosa (sentido común) por lo que visitó la página de Facebook de la empresa para informarse mejor. Esa simple acción (comunicarse con la empresa, buscar información en su página) evitó que su computadora se infectara.
Otra cosa, que tal vez no debería mencionarla, es que todos los que comentan en la página de Facebook podrían ser víctimas de futuros ataques ¿por qué? Porque aparecen sus nombres completos los cuales podrían ser utilizados en correos personalizados, conseguir sus e-mails no sería complicado teniendo en cuenta que en Facebook todos somos “amigos” y agregamos a cualquiera que tenga una foto linda.
Gracias Paul por el envío!
Ver también:
Phishing de Cinemark Perú busca infectar con trivia falsa.