Un pirata que alteraba webs se convierte en $pammer estafador

Los cibercriminales en Brasil y Latinoamérica casi siempre emplean métodos de ingeniería social en sus ataques. A veces envían correos bancarios falsos o correos electrónicos de servicios populares de Internet. Las bases de datos de correo electrónico de las víctimas potenciales se crean con las direcciones de correo electrónico robadas de los ordenadores infectados y con las direcciones guardadas en los clientes de correos.

Los estafadores emplean varias herramientas externas como shells PHP en los servidores web atacados después de conseguir las direcciones de correo.

Hace poco encontré una shell interesante para envíos masivos durante mi análisis diario. El código muestra que se desarrolló en Brasil:

Al editar el código PHP original, el criminal puede falsificar los “asuntos originales” de los mensajes que envían. ¡Muy interesante!

Ahora veamos la dirección IP original del dominio mencionado:

Como se puede ver en este caso, los criminales están enviando correos electrónicos falsos usando la identidad de IG (www.ig.com.br), un proveedor de Internet muy popular en Brasil. Falsifican el remitente, la dirección IP original y hasta las estadísticas de spam. Esto hace que sea muy posible que este correo logre pasar los filtros de spam y llegue al buzón de correos de la víctima. Hasta los expertos en informática pueden llegar a pensar que el mensaje proviene de verdad de IG.

Al analizar el código también descubrí otro dato interesante de la shell. Un pirata informático de Brasil famoso en todo el mundo por alterar sitios web (no publicaremos el nombre durante la investigación) fue el que atacó el servidor. Sólo el 7 de septiembre alteró 42 dominios diferentes.

En el pasado, hemos visto que estos atacantes sólo actúan con motivaciones políticas. Eso ha cambiado. Ahora los cibercriminales que buscan ganar dinero subcontratan a los que alteran sitios web para que les ayuden en sus ataques.