News

Malware aprovecha el terremoto en Japón… otra vez

Todavía falta mucho para que se acabe la crisis causada por el terremoto y tsunami en Japón, y parece que también tendrá que pasar bastante tiempo para que dejen de aparecer nuevas amenazas que intentan explotar esta crisis.
Decenas de miles de personas en Japón han perdido sus casas y seres queridos. Además, las fugas de radiación son una grave preocupación para el país y para quienes se mantienen al tanto de los acontecimientos, mientras que nuevos temblores recuerdan a todos el poder de la naturaleza casi a diario. (Mientras escribía esto, ¡se sintió un terremoto de magnitud 6,2!)

Hoy investigamos otro sitio web malicioso. Este dice en portugués: “Novo tsunami atinge a região de Sendai e Japão declara estado de emegência em usina nuclear”, que significa “Nuevo tsunami azota la región de Sendai, y Japón declara el estado de emergencia en la planta nuclear”.

Al pulsar en el contenido de la página, se descarga un archivo ejecutable que detectamos como “Trojan-Downloader.Win32.Autolt.po”.
Al ejecutarlo, se descargan tres binarios adicionales desde un sitio comprometido en Brasil.

Si se ejecuta con éxito, el ordenador intenta conectarse a varias ubicaciones, con nombres como “wab.php” y “contador.php”. Por ahora, podemos confirmar que esta actividad también resultó en el acceso a www.visa.com.br y a otra ubicación, causando errores “404” porque los archivos estaban alojados en otro sitio comprometido, que al parecer ya se encuentra libre de intrusiones.

Nuestro Equipo de Investigación y Respuesta a Incidentes trató de contactar a los dueños/puertos ISP de los sitos comprometidos para alertarles sobre el incidente. Hasta ahora sólo hemos recibido una respuesta a nuestro correo electrónico abuse@, pero parece que no es de mucha ayuda para la comunidad de Internet:

Parece que ellos tienen otros problemas y no sabemos si alguien ha escuchado nuestra alerta. Sin embargo, los usuarios de productos Kaspersky Lab están protegidos de esta amenaza porque nuestras soluciones detectan todos los componentes de este ataque.

Malware aprovecha el terremoto en Japón… otra vez

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada