Menú de contenidos Cerrar

Noticias

Robando permisos para sacar divisas al gobierno

Noticias

lectura de un minuto

Autores

Justo después de las elecciones presidenciales en Venezuela, los cibercriminales lanzaron un nuevo malware para robar credenciales con una campaña de ingeniería social que decía que las elecciones habían sido un fraude. El nombre del archivo malicioso es “listas-fraude-electoral.pdf.exe”, y se propaga mediante una versión falsa de la cadena de televisión venezolana Globovisión.

El malware es muy simple y trata de desactivar el sistema UAC, lo que permite que los criminales ejecuten comandos administrativos con cuentas restringidas de usuarios.


C:WindowsSystem32reg.exe ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /f

También redirige las solicitudes DNS desde el ordenador infectado a cinco bancos venezolanos diferentes y hacia un alojamiento malicioso que le permite robar las credenciales bancarias en línea.

Uno de los aspectos interesantes de este malware es que también roba las credenciales del sitio web de la Comisión de Administración de Divisas, un sitio de los empleados del gobierno venezolano.

www.cadivi.gob.ve

Esta es una “característica” interesante porque tiene una relación directa con la historia de Venezuela. En 2003, el gobierno de Venezuela decidió crear una comisión especial llamada CADIVI para evitar que su moneda se filtrara fuera del país. Ahora los ciudadanos venezolanos deben pedir permiso para sacar del país más de cierta cantidad de dinero cuando viajan. Esta cifra está limitada por una serie de regulaciones y políticas específicas, como la cantidad de días que pasarán en el exterior, su destino, etc. La comisión determina la cantidad de dinero que permitirá sacar del país en cada caso particular.

Como este malware es tan simple y sólo ataca a los bancos venezolanos y CADIVI, podemos asumir que los cibercriminales que lo crearon son venezolanos. Kaspersky Antivirus detecta esta amenaza como Trojan.Win32.Agent.uael, y este es el mapa actual de las infecciones:

Los datos actuales de VirusTotal demuestran que por ahora 17 de 44 motores antivirus detectan esta amenaza.

Agradezco a mi compañero Kurt por compartir la muestra.

Autores

Robando permisos para sacar divisas al gobierno

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

De los mismos autores

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada

En la misma categoría

    • Últimas publicaciones
    Informes

    MosaicRegressor: acechando en las sombras de UEFI

    Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

    Dark Tequila Añejo

    Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada

    Amenazas

    Amenazas

    Categorías

    Categorías

    Otros sitios

    © 2024 AO Kaspersky Lab. Todos los derechos reservados.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada