En las últimas horas una gran cantidad de correos en portugués que simulan provenir de TIM Brasil han sido detectado por nuestro Laboratorio:
En el correo se invita al usuario a ver un video en el sitio de la empresa mencionada. Por supuesto, el dominio al que se ingresa no es el de TIM sino uno creado con el fin de difundir malware. Si el usuario desprevenido ingresa al sitio web falso, verá una página de TIM simulando ser la original, se descargará un archivo llamado Msg_Vitual_1909354415648758.cpl y se ejecutará el reproductor de Windows Media para simular el video y que el usuario no se percate de la descarga del malware.
Ese archivo en realidad es un troyano que ESET NOD32 detecta como Win32/TrojanDownloader.Banload.OAZ, se copia en el sistema con el nombre win.exe y se comunica a un FTP de Brasil ki[eliminado].net ([eliminado].7.184.42) para descargar otros archivos dañinos encargados de robar contraseñas.
Si se ingresa al FTP mencionado pueden verse una gran cantidad de archivos .mod y .cpl que en realidad son troyanos, gusanos, rootkits y passwords stealer que el creador del malware utiliza en esta campaña de difusión:
Como podemos ver esta persona cuenta con variados y múltiples alternativas para infectarnos y por eso hay que estar prevenidos y no confiar en los correos de personas desconocidas y mucho menos, si tienen un enlace.
Cristian
