News

Mediyes – El dropper con una firma digital válida

Hace unos días se descubrió un programa malicioso con una firma válida. El malware es un dropper de 32 o 64 bits que Kaspersky Lab detecta como Trojan-Dropper.Win32.Mediyes o Trojan-Dropper.Win64.Mediyes, respectivamente.
Se identificaron numerosos archivos dropper que se firmaron en varias fechas entre diciembre de 2011 y el 7 de marzo de 2012. La compañía suiza Conpavi AG emitió todos los certificados. Se sabe que la compañía trabaja con agencias del gobierno suizo, como municipalidades y cantones.



Información sobre la firma digital de Trojan-Dropper.Win32.Mediyes

Todavía no conocemos el origen exacto de Trojan-Dropper.Win32/Win64.Mediyes, pero tenemos razones para creer que utiliza exploits para instalarse en los ordenadores.
El dropper de 32 bits almacena su propio controlador de 32 bits -cuyo nombre comienza con ‘HID’- en el directorio de controladores del sistema. Después, se elimina a sí mismo del sistema. El driver en sí no tiene una firma digital, pero eso no evita que funcione en un sistema Windows de 32 bits. El driver contiene una DLL que se copia en una carpeta del sistema que comienza con las letras ‘PNG’. La función principal del controlador es inyectar una DLL en un proceso de los navegadores de Internet. El controlador también oculta los componentes de Mediyes en el disco.
El dropper de 64 bits no tiene un controlador, inyecta el DLL directo en el navegador.
Kaspersky Lab detecta la DLL maliciosa como Trojan.Win32.Mediyes y el controlador como Rootkit.Win32.Mediyes.
Después de que se ejecuta la DLL, identifica el navegador que se está usando y comienza a interceptar solicitudes del navegador que se envían a los motores de búsqueda Google, Yahoo! y Bing. También reproduce todas las solicitudes en el servidor de los cibercriminales, que se encuentra en Alemania. Los delincuentes utilizan las solicitudes de búsqueda para ganar dinero como parte del programa de afiliados Search 123 que funciona con un sistema de pago por click (en inglés Pay-per-click o PPC). El servidor responde a las solicitudes de los usuarios con enlaces del sistema Search 123 que se pulsan sin que el usuario lo sepa. Esto hace que los criminales ganen dinero con clicks falsos.


Descripción del programa de afiliados Search123

Según los datos de KSN, el troyano DLL malicioso Trojan.Win32.Mediyes se identificó en los ordenadores de alrededor de 5.000 individuos, en su mayoría de Europa occidental – Alemania, Suecia, Suiza, Francia e Italia.


Distribución geográfica de Trojan.Win32.Mediyes

Está claro que el malware está dirigido a usuarios de Europa occidental. Hay evidencias que lo demuestran: el certificado es de una compañía suiza, el servidor está en Alemania, y se están interceptando sólo las solicitudes que se hicieron en los principales motores de búsqueda internacionales.
Hemos informado a VeriSign sobre la amenaza y le hemos pedido que revoque los certificados comprometidos.

Mediyes – El dropper con una firma digital válida

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada