News

Robando permisos para sacar divisas al gobierno

Justo después de las elecciones presidenciales en Venezuela, los cibercriminales lanzaron un nuevo malware para robar credenciales con una campaña de ingeniería social que decía que las elecciones habían sido un fraude. El nombre del archivo malicioso es “listas-fraude-electoral.pdf.exe”, y se propaga mediante una versión falsa de la cadena de televisión venezolana Globovisión.

El malware es muy simple y trata de desactivar el sistema UAC, lo que permite que los criminales ejecuten comandos administrativos con cuentas restringidas de usuarios.


C:WindowsSystem32reg.exe ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /f

También redirige las solicitudes DNS desde el ordenador infectado a cinco bancos venezolanos diferentes y hacia un alojamiento malicioso que le permite robar las credenciales bancarias en línea.

Uno de los aspectos interesantes de este malware es que también roba las credenciales del sitio web de la Comisión de Administración de Divisas, un sitio de los empleados del gobierno venezolano.

www.cadivi.gob.ve

Esta es una “característica” interesante porque tiene una relación directa con la historia de Venezuela. En 2003, el gobierno de Venezuela decidió crear una comisión especial llamada CADIVI para evitar que su moneda se filtrara fuera del país. Ahora los ciudadanos venezolanos deben pedir permiso para sacar del país más de cierta cantidad de dinero cuando viajan. Esta cifra está limitada por una serie de regulaciones y políticas específicas, como la cantidad de días que pasarán en el exterior, su destino, etc. La comisión determina la cantidad de dinero que permitirá sacar del país en cada caso particular.

Como este malware es tan simple y sólo ataca a los bancos venezolanos y CADIVI, podemos asumir que los cibercriminales que lo crearon son venezolanos. Kaspersky Antivirus detecta esta amenaza como Trojan.Win32.Agent.uael, y este es el mapa actual de las infecciones:

Los datos actuales de VirusTotal demuestran que por ahora 17 de 44 motores antivirus detectan esta amenaza.

Agradezco a mi compañero Kurt por compartir la muestra.

Robando permisos para sacar divisas al gobierno

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada