Spam y phishing

Fotografías con troyanos

Los spammers suelen propagar malware utilizando notificaciones falsas en las que se hacen pasar por instituciones financieras, servicios de entregas y otras compañías. Tienen un arsenal de trucos que actualizan todo el tiempo. En los últimos años hemos estado registrando correos masivos en inglés y alemán en los que los atacantes tratan de esconder el malware en fotos e imágenes.

En octubre, los atacantes enviaron notificaciones falsas haciéndose pasar por la empresa T-Mobile, un operador de telecomunicaciones en Alemania, para hacer creer al usuario que había recibido un MMS. Para que el correo parezca legítimo, la dirección del remitente tenía el dominio oficial de la compañía, aunque el correo en sí se había enviado desde otra dirección. El cuerpo del mensaje tenía el número de teléfono de quien había enviado el MMS e información general sobre el envío y recepción de mensajes multimedia.

La supuesta foto, llamada “23-10-2013 13_64_09.jpeg.exe”, no estaba en el cuerpo del mensaje, sino en un archivo comprimido adjunto llamado “23-10-2013 43_69_10.zip”. Los estafadores usaron el popular formato de imágenes JPEG en el nombre del archivo malicioso con la esperanza de convencer a los usuarios de que el archivo comprimido de verdad contenía la foto. Pero, si prestas atención, puedes notar que la extensión del archivo en realidad es .exe. Kaspersky Lab detecta este archivo ejecutable como Backdoor.Win32.Androm. El programa permite que los cibercriminales ejecuten órdenes a distancia en el equipo del usuario, por ejemplo, descargar y ejecutar otros programas maliciosos sin que se dé cuenta.

 

En noviembre, los spammers utilizaron Instagram, el popular servicio para compartir fotos y videos, para difundir estos correos. Las notificaciones falsas que se enviaron en nombre de este servicio, informaban a los usuarios que sus fotos estaban publicadas en Instagram. Para ver la imagen, se pedía a los usuarios que abrieran un archivo ZIP en el que supuestamente estaba la imagen “Photo DIG9048599868.jpeg.exe”. Este era en realidad el troyano Trojan.Win32.Neurevt, un robot multifuncional que roba los datos almacenados en el navegador (cookies y contraseñas), los nombres de usuario y contraseñas guardados en sitios web y los códigos de juegos. Además, se utiliza para descargar y ejecutar diversos programas en el equipo de la víctima y crear redes zombi para ataques DDoS. Una de las características específicas del bot es que tiene una función avanzada diseñada para contrarrestar varias soluciones de seguridad. Por ejemplo, puede bloquear la ejecución de programas antivirus y servicios de Windows Update o evitar que el usuario visite los sitios web de compañías antivirus.

 

En noviembre descubrimos otro truco más, pero esta vez no trataba de explotar el nombre de ninguna compañía o servicio respetable. Los correos en esta campaña imitaban la correspondencia personal entre amigos que comparten fotos privadas. El intrigante encabezamiento invitaba a los usuarios a ver fotos de sí mismos o de sus parejas. El cuerpo tenía palabras sin sentido y emoticones. Las direcciones del remitente se generaron de forma automática, pero tenían nombres de personas. Como en otros mensajes masivos, el email incluía un archivo comprimido con la supuesta foto, que en realidad era un archivo ejecutable de extensión doble. Kaspersky Lab detecta este archivo como Trojan-Downloader.Win32.Agent, un troyano que instala un programa antivirus falso en el equipo de la víctima. El equipo infectado muestra notificaciones insistentes sobre virus detectados. Para dejar de verlas, se pide al usuario que compre la versión completa de una supuesta solución antivirus. Detectamos el archivo que tiene el programa antivirus falso como Trojan-FakeAV.Win32.SmartFortress2012.ambh.

El archivo malicioso en este archivo comprimido tiene la extensión .scr, que es típica de los protectores de pantalla de Windows. Tanto las extensiones .scr como .exe se refieren a archivos ejecutables y los spammers pueden usarlas para instalar malware.

 

Una de las principales metas de los atacantes que propagan correos maliciosos es conseguir acceso al ordenador de la víctima. Los spammers suelen explotar la curiosidad y el descuido de la gente para ayudarles a hacerlo. Un equipo infectado no sólo es una fuente de valiosa información personal, también se puede utilizar para atacar a otros usuarios de Internet o a grandes organizaciones y compañías. Si te mantienes atento y tienes una buena solución antivirus actualizada, puedes evitar problemas como este.

Fotografías con troyanos

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada