Se está propagando un mail que dice provenir de claro.com.ar en el cual un supuesto amigo te envía un mensaje multimedia. Antes que nada, de por si tenemos que saber que un por mas asunto que tenga, o provenga de la cuenta que provenga, debemos dudar de mensajes de este tipo siempre.
Como primera percepción vemos un asunto llamativo(MENSAJE IMPORTANTE), en mayúsculas, lo cual denota querer llamar la atención. Para hacerlo aún mas creíble, usan el logo de la web de Claro a la cual tranquilamente se puede acceder directamente desde este enlace.
También podemos ver si analizamos el codigo fuente del mail, que todos los enlaces del mismo apuntan a un mismo lugar, señal mas que clara de phishing, en la cual se busca que el usuario haga clic en lo que mas pueda llamarle la atención. En este caso, se linkean lo que mas puede atraer a la persona, el nombre Ariel, las palabras Email Multimedia, y los mensajes de abrir y reproducir el mensaje.
Todos los enlaces apuntan a esta dirección: http://www.***.com/jm.jsp?dest=http://rtv.*****.pl/en//***/seriaA/Claro.scr
Antes que nada, está bien aclarar que el archivo Claro del enlace tiene la extensión scr, que es la extension de los protectores de pantalla, nada que ver con un mensaje.
Y si lo testeamos con Virus Total, es detectado como sitio de malware por 5 webs de análisis de las 16 que escanearon el enlace:
Si escaneamos a donde redirecciona, es decir, a http://rtv.*****.pl/en//***/seriaA/Claro.scr, vemos que 15 de los 42 antivirus lo detectan como un troyano Win32/TrojanDownloader:
Siempre debemos estar alertas y tener en cuenta las buenas practicas para evitar ser engañados e infectarnos con malware.
