Justo después de las elecciones presidenciales en Venezuela, los cibercriminales lanzaron un nuevo malware para robar credenciales con una campaña de ingeniería social que decía que las elecciones habían sido un fraude. El nombre del archivo malicioso es “listas-fraude-electoral.pdf.exe”, y se propaga mediante una versión falsa de la cadena de televisión venezolana Globovisión.
El malware es muy simple y trata de desactivar el sistema UAC, lo que permite que los criminales ejecuten comandos administrativos con cuentas restringidas de usuarios.
C:WindowsSystem32reg.exe ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /f
También redirige las solicitudes DNS desde el ordenador infectado a cinco bancos venezolanos diferentes y hacia un alojamiento malicioso que le permite robar las credenciales bancarias en línea.
Uno de los aspectos interesantes de este malware es que también roba las credenciales del sitio web de la Comisión de Administración de Divisas, un sitio de los empleados del gobierno venezolano.
Esta es una “característica” interesante porque tiene una relación directa con la historia de Venezuela. En 2003, el gobierno de Venezuela decidió crear una comisión especial llamada CADIVI para evitar que su moneda se filtrara fuera del país. Ahora los ciudadanos venezolanos deben pedir permiso para sacar del país más de cierta cantidad de dinero cuando viajan. Esta cifra está limitada por una serie de regulaciones y políticas específicas, como la cantidad de días que pasarán en el exterior, su destino, etc. La comisión determina la cantidad de dinero que permitirá sacar del país en cada caso particular.
Como este malware es tan simple y sólo ataca a los bancos venezolanos y CADIVI, podemos asumir que los cibercriminales que lo crearon son venezolanos. Kaspersky Antivirus detecta esta amenaza como Trojan.Win32.Agent.uael, y este es el mapa actual de las infecciones:
Los datos actuales de VirusTotal demuestran que por ahora 17 de 44 motores antivirus detectan esta amenaza.
Agradezco a mi compañero Kurt por compartir la muestra.
Robando permisos para sacar divisas al gobierno