Saludos:

Nada tendría de inusual el envío de una postal, pero cuando una persona; en este caso yo; no recibe una postal "real" desde hace como dos o tres años, ya resulta inusual ver una en mi bandeja de entrada. X)

-> El correo:

El correo electrónico; para variar; y como las "buenas prácticas" lo indican, contiene una URL para descargar el malware en cuestión.

Ok, a continuación debería de seguir el análisis a las cabeceras del correo electrónico, pero en esta ocasión vamos a dar un giro al análisis. ¿Por qué?.

Porque al visualizar las URLs que utiliza el mensaje de correo, se puede obtener la siguiente información:

http://usuarios.lycos.es/logincount/metropostales.gif
http://www.metropostales.com/cards/img/s0036.jpg
http://208.98.32.114/metropostales.com/cards/animaciones/metropostales2.com

Bien el malware no fué posible obtnerlo, pero una consulta WHOIS a la dirección IP donde se hospedaba, muestra la siguiente información:

Sobre el dominio metropostales.com no creo necesaria dar más información, ní hacerles publicidad.

Ahora sí viene lo más interesante del tema. Ok, no hay malware, pero es posible obtener la siguiente información:

En el cuerpo del correo electrónico se utiliza una imágen hospedada en la siguiente URL: http://usuarios.lycos.es/logincount/metropostales.gif

A continuación se muestra una imágen visualizando el index principal:

Se puede apreciar dos directorios: Vps-land.com y xD

Dentro del directorio Vps-land.com/Visa/

Así también en el listao anterior existe un archivo visa.php, que es llamado por el formulario que a continuación se presenta. Y que envía toda la información relevante solicitada al atacante; como por ejemplo Número de Tarjeta de Credito, Nombre Completo, Fecha de vencimiento y CCV2.

La falsa página de Visa hospedada en este directorio es la siguiente:

Me agrada el texto utilizado, para estafar a la víctima. Ingeniería Social.

VISA International Service Asociation con base al artículo 637 sobre privacidad al cliente, le informa que lamentablemente un pirata informático logró vulnerar un servidor de nosotros, y aunque, seguramente, debido a que nuestro equipo cuenta con los ingenieros más capaces del mundo y nuestro sistema de seguridad se sitúa entre los 10 mejores, no hubo daño alguno, pero, para asegurarnos que nuestros clientes no tengan problemas a futuro y sigan disfrutando de todos los beneficios que VISA les otorga, es necesario que llene el siguiente formulario que hemos preparado para usted.

Interesante combinación de engaño y modestia. X)

Ahora el directorio xD, hospeda la siguiente información:

Ahora, las siguiente imágenes de los archivos hospedados en el directorio anteriormente mencionado, hablan por sí solas.

Las imágenes:

Repito; las imágenes hablan por sí solas ;)

De todo lo detallado, llama mi atención la siguiente URL:

http://banreservas-netbanking.100webspace.net/www.banreservas.com.do/FPo...

Visualizando el archivo, se muestra la siguiente:

¿Y qué es eso? Es un listado de usuarios y contraseñas, se puede apreciar que algunas personas ya no caen en este tipo de engaño y descargar su ira contra estos tipos. :)

Y finalmente al escalar un directorio se visualiza una nueva página falsa, esta vez del Banco de Reservas - Portal Financiero:

A continuación la página original:

Un parecido impresionante. X)

Conclusiones:

* Se pone de manifiesto el alcance o todo lo que puede abarcar un simple correo electrónico. El correo electrónico puede ser la punta del iceberg, pero es posile ver un poco del iceberg que está sumergido, con un poco de paciencia.

* En primera instancia no se podía obtener el malware, pero se pudo obtener y aprender un poco más sobre como se relacionan estos correos electrónicos con páginas falsas de diferentes entidades financieras y páginas de tarjetas postales. Todo un círculo vicioso.

* Tener cuidado aquí adentro (en internet) en este caso específico con tarjetas postales, que a quién no le gusta recibir, pero que muchas veces en lugar de dar un momento de felicidad, puede dar un largo momento de migraña.

Será hasta una próxima oportunidad.

Atte: