Descripciones de malware

Pinch en apuros

Para nosotros es común cruzarnos con troyanos enviados por IM (mensajería instantánea). Para enviarlos, los usuarios malintencionados utilizan una gran variedad de métodos, desde mensajes invitando a ver fotos, pasando por vínculos que dicen dirigir a aplicaciones de gran utilidad, hasta llegar a la ingeniería social, que manipula los miedos de las personas.

Por supuesto, los sitios a donde dirigen los enlaces están llenos de exploits que transforman el ordenador de la víctima en un criadero de malware.

No hay nada nuevo en estos mensajes. Pero hoy recibimos otro ejemplar de un correo que ha estado molestando a los usuarios durante las últimas tres semanas: cada día, millones de usuarios reciben el siguiente mensaje:

A pesar de que el enlace no siempre es el mismo, de vez en cuando se envía el mismo vínculo dos veces en un solo día, dependiendo de cuánto tarde en reaccionar la compañía de antivirus ante el malware más reciente. Si el usuario no está informado o es imprudente y pulsa en el enlace, su ordenador se infectará con una variante del conocido Trojan-PSW.Win32.LdPinch.

Le echamos un vistazo a las diferentes variantes que se habían descargado y descubrimos que:

  1. Se está usando una versión antigua de Pinch, disponible sin restriccines: en cada oleada de correos, el malware se empaca con distintos programas de compresión de ficheros ejecutables.
  2. Al comienzo, Pinch enviaba los archivos de registro usando servidores públicos SMTP, pero después empezó a utilizar un “script gate” en un servidor gratuito de alojamiento de páginas web.
  3. La dirección de correo del destinatario es la misma en todos los casos.

Pinch es un verdadero omnívoro, devora todo lo que encuentra en el ordenador de la víctima: el número de licencia de Windows, información del sistema, una lista de programas instalados, así como contraseñas de FTP, correos electrónicos e ICQ y contraseñas guardadas en Windows Protected Storage.

En sus días más productivos, la persona que envía los correos de difusión masiva llega a recolectar un centenar de registros. Su tienda electrónica ofrece una gran cantidad de números de ICQ que, se presume, roba del ordenador de las víctimas. Es obvio que solo quiere hacer dinero y, tomando en cuenta que los escritores de malware han pasado de ser unos simples vándalos a cometer verdaderos actos criminales, esto no es ninguna sorpresa. Sin embargo, lo que algunos usuarios malintencionados ignoran es que con un análisis cuidadoso de Pinch se puede obtener mucha información sobre el autor: su nombre, fecha de nacimiento, ciudad, número de teléfono móvil y muchos otros datos personales.

Buenas noticias para quienes luchan contra el crimen cibernético, pero malas para los involucrados en actividades ilegales.

Pinch en apuros

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada