Noticias

Robando permisos para sacar divisas al gobierno

Justo después de las elecciones presidenciales en Venezuela, los cibercriminales lanzaron un nuevo malware para robar credenciales con una campaña de ingeniería social que decía que las elecciones habían sido un fraude. El nombre del archivo malicioso es “listas-fraude-electoral.pdf.exe”, y se propaga mediante una versión falsa de la cadena de televisión venezolana Globovisión.

El malware es muy simple y trata de desactivar el sistema UAC, lo que permite que los criminales ejecuten comandos administrativos con cuentas restringidas de usuarios.


C:WindowsSystem32reg.exe ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /f

También redirige las solicitudes DNS desde el ordenador infectado a cinco bancos venezolanos diferentes y hacia un alojamiento malicioso que le permite robar las credenciales bancarias en línea.

Uno de los aspectos interesantes de este malware es que también roba las credenciales del sitio web de la Comisión de Administración de Divisas, un sitio de los empleados del gobierno venezolano.

www.cadivi.gob.ve

Esta es una “característica” interesante porque tiene una relación directa con la historia de Venezuela. En 2003, el gobierno de Venezuela decidió crear una comisión especial llamada CADIVI para evitar que su moneda se filtrara fuera del país. Ahora los ciudadanos venezolanos deben pedir permiso para sacar del país más de cierta cantidad de dinero cuando viajan. Esta cifra está limitada por una serie de regulaciones y políticas específicas, como la cantidad de días que pasarán en el exterior, su destino, etc. La comisión determina la cantidad de dinero que permitirá sacar del país en cada caso particular.

Como este malware es tan simple y sólo ataca a los bancos venezolanos y CADIVI, podemos asumir que los cibercriminales que lo crearon son venezolanos. Kaspersky Antivirus detecta esta amenaza como Trojan.Win32.Agent.uael, y este es el mapa actual de las infecciones:

Los datos actuales de VirusTotal demuestran que por ahora 17 de 44 motores antivirus detectan esta amenaza.

Agradezco a mi compañero Kurt por compartir la muestra.

Robando permisos para sacar divisas al gobierno

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada