Spammers usan DMARC para distribuir ransomware
A través de los métodos de autenticación de correo electrónico, los atacantes se aseguran que los mensajes maliciosos evadan los filtros de spam y terminen directamente en las bandejas de entrada. Además, están incrementando las posibilidades de infectar a los usuarios con el ransomware TorrentLocker, indican investigadores de la empresa Trend Micro.
Los últimos correos electrónicos de TorrentLocker utilizan un Dominio basado en Mensajes de Autenticación, Reporte y Cumplimiento (DMARC), que normalmente es usado para mitigar el abuso del correo electrónico, dijo a SCMagazine.com por correo electrónico el martes el arquitecto de Trend Micro Jon Oliver.
«Es así porque muchos de los grandes proveedores de Internet lo utilizan para monitorear dominios automáticamente, normalmente los que son víctimas de phishing», dijo Oliver. «El propietario de un dominio puede obtener reportes de dichos proveedores de Internet que muestran si se está abusando de su dominio.»
En este caso, DMARC permite a los spammers obtener información sobre lo que está sucediendo con sus correos maliciosos y esos datos pueden ser utilizados para mejorar la tasa de entrega de su correo no deseado, mencionó Oliver. Agregó que DMARC a veces da una «puntuación positiva» a los correos electrónicos que están «autenticados», aumentando así las posibilidades de que el spam sea entregado con éxito.
Gran parte del spam de TorrentLocker que está siendo distribuido notifica a los que reciben el correo electrónico de que han sido multados por exceso de velocidad o que han recibido un paquete de mensajería, dijo Oliver.
El destinatario recibe la instrucción de hacer clic en un enlace que le lleva a un sitio web falso donde se pide descargar un archivo sobre la multa o el paquete. Cuando éste se haya descargado y abierto, el destinatario se infecta con TorrentLocker, cifrando los archivos en el equipo y exigiendo un rescate.
Australia es el país más afectado por TorrentLocker, según los datos recogidos desde noviembre de 2014, incluídos en una publicación del viernes. Estados Unidos, Italia, Filipinas y Francia también están en la lista de los países afectados.
Para protegerse contra este tipo de amenazas, Oliver sugirió hacer uso de una solución de respaldo automático de archivos en la nube, ser cuidadoso con los dispositivos de almacenamiento compartido y contar con soluciones de defensa, tales como antimalware. También advirtió que se debe estar al pendiente de los CAPTCHA.
«Cuando ves a un CAPTCHA, sé cuidadoso, si tienes sospechas utiliza el teléfono para llamar a la organización involucrada», dijo Oliver. «Esta nota está enfocada específicamente a TorrentLocker, el cual casi siempre utiliza CAPTCHA como parte de su ingeniería social.»
Fuente: http://www.seguridad.unam.mx/
Fecha de consulta: 06 Marzo 2015