Toda tu cosecha me pertenece

Hoy recibí un “Mensaje de notificación antivirus” de nuestro servidor de correo (protegido por kav4lms), así que obviamente me intrigó su contenido. Al analizar el correo de la cuarentena del servidor descubrí un par de datos interesantes, empezando por su encabezado:
“X-PHP-Script: .com/templates/beez/woolf2.php for 41.248.

El mensaje provenía de un servidor comprometido y se había utilizado un gestor de correos php para enviar los correos fraudulentos directo desde allí.
Al visitar la ubicación mencionada en el encabezado no fue difícil notar que el gestor de correos masivos GUI contenía un enlace a un sitio fraudulento que ahora se encuentra desconectado. Pero tras un estudio más profundo descubrí que el sitio alojaba ‘phish kits’, colecciones de archivos maliciosos que se pueden descargar gratis.

Estos ‘phish kits’ son archivos comprimidos que se pueden extraer de un servidor comprometido. Todo lo que deben hacer los cibercriminales (después de encontrar el servidor comprometido) es editar uno de los archivos en ese paquete y escribir la dirección de correo del usuario que recibirá los datos que se consigan. Pero en realidad la información no sólo se envía a la dirección de correo designada, también la recibe otro cibercriminal.

Esta estafa no es nueva, pero los delincuentes virtuales novatos no se dan cuenta de que están compartiendo sus ganancias mal habidas con otros criminales más experimentados.