BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
🗞️

Nuevo phishing personalizado con nombre y apellidos a clientes Movistar con "factura" adjunta

1
lordman
7

Lo del phishing no debería ser noticia hablando en general, pero al menos a mi es la primera vez que me llega por email un phishing camuflado como factura que no se ha podido cobrar de Movistar. El contenido del email es el siguiente y el objetivo es que se le de al enlace que proporcionan para consultar la factura pendiente. El email llega con nombre y primer apellido.

Notificación - Movistar

Estimado/a Cliente,

Factura: 0097528878

Nos gustaría informarte que tu factura con fecha de vencimiento Enero/2025 está vencida. Como resultado, se aplicará una penalización y multa a tu cuenta si no realizás el pago.

Te pedimos que liquides tu deuda pendiente lo antes posible para evitar mayores inconvenientes.

Descargá aquí la primera hoja de tu FACTURA de servicios:

Consultar FACTURA:0097528878

Movistar para consultar y pagar la factura de todos tus productos. También podés descargar la primera página de tu factura de telefonía fija o internet.

Este es un mensaje automático. Por favor, no respondas a este correo.

Atentamente, Movistar. Todos los derechos reservados.

Al hacer click en el consultar factura se descarga un fichero con extensión .msi el cual, al menos por el momento, pasado por virustotal, no había sido enviado hasta ahora y no lo detecta ningún antivirus.

virustotal.com/gui/file/c33226b5ea654363…2cdc6db56d5d

Según el aporte de @Castillos, el instalador no sería malware si no el software legítimo de acceso remoto PDQ, con el cual intentarán acceso a la máquina para lograr los propósitos que mejor prefieran.

lockbits.cl/blog/alerta-campana-de-malwa…mas-amenazas

Jav9i

El objetivo me da a mí no es infectar tu equipo, es que les hagas una transferencia con casi total seguridad.

Castillos
9

El instalable msi va firmado por PDQ.com

Ese correo phishing abusa del software legítimo de acceso remoto PDQ, que ha sido utilizado en otros incidentes para tomar el control de los sistemas comprometidos.

PDQ no es un software malicioso, sin embargo, algunos grupos cibercriminales lo utilizan para lograr acceso remoto a la máquina de la víctima y luego instalar malware como Mekotio u otros.

lockbits.cl/blog/alerta-campana-de-malwa…mas-amenazas

🗨️ 1
lordman
2

El fichero de instalación era nuevo, al pasarlo por virustotal nadie lo había pasado hasta el momento, no me ha mostrado un análisis previo.

Maik-Elektroniker
3

Se nota que el texto original estaba en Argentino, y el autor también debe de serlo porque imagino que habrá leído el texto y le habrá parecido que está bien redactado, dejando partes reconocibles para el resto. Vamos que me ha dado la risa al leer el email.

" vencimiento Enero/2025 está vencida. Como resultado" Mal redactado y no es la forma de escribir de Movistar.

"También podés descargar la primera página" Mal redactado, no es la forma de escribir de Movistar y está en Argentino.

"Atentamente, Movistar. Todos los derechos reservados." Totalmente convincente oiga, no es la forma de escribir de Movistar.