News

Más sobre Yxe

¿Qué más hemos descubierto sobre Yxe.e, el programa malicioso que detectamos ayer? Se propaga vía MMS y agrega la imagen de un cráneo y dos huesos cruzados como archivo adjunto, en lugar de incluirla en el cuerpo del mensaje. El texto incluye un enlace, http://tran******.com, y sugiere al destinatario que allí encontrará información privada sobre la actriz china Zhang Zii.

Cuando la víctima pulsa en el enlace desde su smartphone, se pide que se descargue e instale un archivo llamado LanPackage.sisx que pesa 57573 bytes. Pero si se pulsa en el enlace desde el buscador de un ordenador sólo se muestra un estado 404:

En otras palabras, el servidor revisa si la solicitud para conectarse al sitio proviene desde un buscador de un dispositivo móvil.

Cuando se ejecuta LanPackage.sisx, se muestra este mensaje:

Y este es el certificado:

Si el usuario consiente, se descargan los siguientes archivos al dispositivo:

• C:sysbinInstaller_SV.exe
• C:sysbinLanPackage.exe – the worm executable
• C:private101f875aimport[20028B98].rsc

Al instalarlo, el gusano comienza a recolectar datos sobre el smartphone y subir la información al servidor cibercriminal, envía mensajes SMS con un enlace a sí mismo a todos los contactos de su víctima, intenta cerrar AppMngr, TaskSpy, Y-Tasks, ActiveFile, TaskMan y bloquea el acceso a Software Manager para evitar que lo eliminen. También trata de conectarse al sitio de una red social china, “Happy Net”, y descarga un archivo más, pero cuando escribí este blog el archivo no estaba disponible.

Parece que Worm.SymbOS.Yxe ya está a la par con programas maliciosos como Cabir y Comwar. Cabir fue el primer gusano de Bluetooth y el primer programa nocivo para plataformas móviles; Comwar fue el primer programa malicioso en propagarse via MMS; Yxe es el primer programa malicioso con un certificado válido. Varias variantes de Cabir y Comwar se lanzan en intervalos durante años. Worm.SymbOX.Yxe tiene más de un año, y ya se nota que sus creadores no piensan frenar su evolución ni su difusión.

Más sobre Yxe

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada