News

La ultima información sobre las infecciones GpCode

Hemos estado investigando la fuente del reciente brote epidémico del virus GpCode, que anda suelto en el sector ruso de Internet.

Nuestra investigación muestra que la expansión del virus ocurrió de la siguiente manera:

Como habíamos pensado, el foco de infección se origina en un envío masivo. El primer mensaje fue enviado el 26 de mayo del 2006, cuando varios miles de usuarios rusos recibieron un correo con este texto:

Hola !

Te escribo con respecto a la solicitud que enviaste al sitio web job.ru. Hay una vacancia perfecta para ti. ADC Marketing LTD (UK) está abriendo una oficina en Moscú y estoy en búsqueda de candidatos apropiados. Pronto te pediré que te presentes a una entrevista personal en el horario que convengamos.

Si te interesa mi oferta, por favor llena el formulario adjunto relacionado a los temas de compensación y envíamelo por correo electrónico.

Atentamente,
Viktor Pavlov
Gerente de Recursos Humanos

[lo anterior es una traducción del Ruso]

El archivo adjunto es un archivo MSword.doc llamado anketa.doc (anketa es la palabra en ruso que significa formulario de aplicación – nota del traductor) De hecho, este archivo contenía el troyano Dropper.MSWord.Tored.a.

Una vez que el destinatario abría el archivo doc, un macro malicioso instalaba otro troyano en el sistema local – Troyan-Downloader.Win32.Small.crb.

Este es el troyano que luego cargaba GpCode en el ordenador local desde un URL – [skip].msk.ru/services.txt.

El autor de GpCode realizó envíos masivos similares durante varios días. También cambió las variantes del GpCode que eran descargados desde este URL.

Kaspersky Lab está en estos momentos trabajando para cerrar este sitio.

La ultima información sobre las infecciones GpCode

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada