News

Avalancha en Skype

Una nueva operación maliciosa está inundando Skype. Es una amenaza que todavía está activa.

Se distribuye mediante ingeniería social, utilizando los ordenadores equipados con una versión infectada de Skype para mandar mensajes masivos como estos a sus contactos:

Creo que no volveré a dormir después de haber visto esta foto
http://www.goo.gl/XXXXX?image=IMG0540250-JPG
Por favor dame tu opinión sobre esta foto que edité http://www.goo.gl/XXXXX?image=IMG0540250-JPG

El servicio para acortar URLs Goo.gl muestra que por ahora se ha pulsado más de 170.000 veces en las URL maliciosas y sólo hace una hora habían alrededor de 160.000 clicks. Esto significa que la campaña está activa con alrededor de 10.000 clicks por hora y 2,7 clicks por segundo.

La mayoría de las víctimas proviene de Rusia y Ucrania:

Otros países que podrían estar afectados son: China, Italia, Bulgaria y Taiwán.
Parece que la operación está funcionando desde el primero de marzo, por lo menos ese fue el día en que se creó la URL corta en Google, pero ha crecido con fuerza en las últimas horas. Este gráfico muestra la cantidad de clicks en las últimas dos horas:

Por ahora, VirusTotal indica que 12 de los 46 antivirus que tiene registrados detectan la amenaza. La tecnología en la nube de Kaspersky AV detecta el ejemplar malicioso como UDS:DangerousObject.Multi.Generic

Ahora hablemos un poco sobre el malware en sí. Está escrito en Visual Basic. Las subrutinas llevan nombres como Lenka, Pier, Christiane, Ryann, etc. Las siguientes expresiones, escritas en inglés, se utilizan como parte de la ingeniería social en Skype:

jajaja
¿Éste eres tú?
¿Ésta es una foto tuya?
Por favor dame tu opinión sobre esta foto
¡Esta foto es divertidísima!
No puedo creer que todavía tenga esta foto
Alguien me mostró tu foto
La verdad es que tu foto no es tan buena
¡Me encanta tu foto!
¿Qué te parece mi nuevo corte de pelo?
Te ves muy linda en esta foto
Tienes que ver esta foto
Por favor echa un vistazo a mi nueva foto
Por favor dame tu opinión sobre esta foto
¿Debería subir esta foto a Facebook?
Alguien me dijo que esta foto es tuya

El malware también puede propagarse mediante USB. Cuando infecta un equipo, el malware utiliza un protocolo IRC para interactuar con el Centro de Comando y Control como parte de una red zombi. La cadena de caracteres en la muestra que dirige al archivo del proyecto VB es C:UserssDesktopMust Use Different NameHqwKHavivah.vbp.
Por último, esto también es interesante:

Sígueme en Twitter @dimitribest.

Avalancha en Skype

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada