News

¿Llegó el fin del troyano DNSChanger?

No, y mucho menos en Latinoamérica. Detectamos muchos ataques similares a diario, en los que se abusan las configuraciones de DNS. Estos ataques son un poco diferentes porque modifican el archivo HOST local, pero el principio es el mismo: redirigen a la víctima a un sitio malicioso mediante registros DNS maliciosos.

Los cibercriminales latinoamericanos están acostumbrados a reciclar las viejas técnicas de otros lugares del mundo, y lo que se está viendo ahora es un aumento en los ataques que abusan de las configuraciones DNS locales. El último ataque de ingeniería social de México, que imitaba a la oficina de impuestos mexicana, es un ejemplo reciente de esto.

Al pulsar en el enlace, la víctima descarga e instala un troyano que está relacionado con Ngrbot y modifica el archivo HOST local. Roba dinero de dos bancos mexicanos al redirigir a las víctimas infectadas a sitios web bancarios falsos.

Hay información muy interesante dentro del código (la fuente del troyano antes de la compilación).

(C:UsersAlxDesktoppharming_root3dProject1.vbp)

Después de navegar por algunos foros cibercriminales en español, descubrí que el autor de este malware ha estado operando desde por lo menos 2004, y es posible que viva en Perú.

La mayoría de las víctimas son, por supuesto, de México. El malware se propaga principalmente por correos electrónicos, y el proveedor de correos que más usa es Yahoo mail.

El malware se descargó por lo menos 11.540 veces y lo detectan 9 de 31 motores antivirus. Esto significa que se realizaron alrededor de 8.000 infecciones.

El hecho de que un cibercriminal relativamente experimentado (que opera desde 2004) siga usando tácticas para abusar de las configuraciones DNS para atrapar a una gran cantidad de víctimas (8.000), confirma una vez más que la tendencia de DNSChanger no cambiará pronto. Seguiremos viendo programas maliciosos nuevos que utilizan y refinen la misma técnica. Esta historia continuará…

¿Llegó el fin del troyano DNSChanger?

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada