News

La matriz que no se robaron

Después de haber lidiado con miles y miles de mensajes/sitios web phishing, ya no suelen llegarme de ninguna forma, pues se las procesa y añade a nuestra lista de detección mediante un proceso que se ha hecho rutinario. Pero hace poco recibí un mensaje que era distinto porque parecía provenir de mi banco.

Los spammers envían enormes cantidades de este tipo de mensajes por Internet. En este caso, llegó a nuestra bandeja de entrada destinada a recibir muestras maliciosas. No tuvimos que salir a buscar elementos maliciosos, pues nos llegó por su propia iniciativa. A menudo identifico los mensajes fraudulentos porque se relacionan con organizaciones con las cuales no tengo vínculo alguno. Pero esta vez fue diferente porque se trataba del banco en el que tengo mi cuenta, donde depositan mi salario. Tuve entonces una clara visión de cómo se lleva a cabo la primera etapa de la ingeniería social. Se basa en la construcción de una “relación de confianza” porque el mensaje provenía justamente de “mi banco”, y sólo el banco sabe que soy su cliente.

Antes, los mensajes fraudulentos como el mencionado eran fáciles de identificar por sus tremendos errores ortográficos o gramaticales. Pero esta vez el contenido del mensaje parecía bastante convincente, al menos a primera vista. El idioma japonés es increíblemente rico y hermoso porque consta de un extenso sistema para expresar cortesía y formalidad. Algunas frases en el mensaje carecían del nivel de un escritor educado.

El mensaje llevaba adjunto un archivo ejecutable cuyo propósito era robar las contraseñas y el número de autenticación de la transacción de los usuarios desprevenidos.

A continuación está la captura de pantalla cuando se ejecuta el adjunto:

Y la siguiente es una foto de una matriz real que no se robaron. Es la mía y los números aparecen borrosos para que a nadie se le ocurra desfalcar mi cuenta :-).

Según la agencia japonesa de promoción de tecnología informática, (IPA), y el centro japonés de coordinación del equipo de respuesta a emergencias informáticas, (JPCERT), que muy amablemente compartieron sus investigaciones con nosotros, usuarios japoneses recibieron algunos archivos binarios similares y dieron parte a las autoridades. El banco Tokio-Mitsubishi UFJ, al corriente de esta actividad maliciosa, publicó una alerta para sus usuarios el 25 de agosto.
Otro caso reciente puede ser una señal de que los ataques contra organizaciones japonesas pueden estar en alza. Esta es una página web phishing alojada en Polonia que seguía activa al momento de escribir esta nota. Además de nuestro Kaspersky Phishing-Popup, el navegador Opera también alerta sobre los peligros de este sitio.

Pudimos descubrir que “Phish-Kit”, un archivo comprimido zip, contenía todos los archivos de esta amenaza. El contenido sugiere que el delincuente que elaboró estos archivos podría ser un rumano. Estos son los detalles:

Es evidente que la dirección de Gmail es la del destinatario de los datos recopilados.
Los usuarios de las soluciones de Kaspersky Lab están protegidos contra esta amenaza y, como de costumbre, queremos recordarles que tomen todas las precauciones necesarias al ejecutar adjuntos en sus mensajes de correo provenientes de remitentes desconocidos.

La matriz que no se robaron

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada