Noticias

Todo sirve…

Oleg Zaitsev
Troyanos de teléfonos móviles que envían mensajes SMS a números de teléfono Premium; programas antivirus fraudulentos que te cobran por neutralizar infecciones inexistentes; troyanos chantajistas que alteran el funcionamiento de los sistemas infectados y exigen dinero para solucionar el problema… Nosotros nos encontramos frente a estos tipos de malware con frecuencia, así que hablamos (y escribimos) sobre ellos a menudo.
Pero ahora estamos combatiendo un programa que combina estas tres características: Trojan.Win32.KillProc.am. Hasta ahora sólo hemos visto tres variantes de este troyano y detectamos dos de ellas bajo otros nombres: Trojan-Ransom.Win32.BHO.a y b.
Este programa es un Objeto de Asistencia al Navegador (BHO) que ataca a Internet Explorer. Si tu ordenador está infectado con este programa, seguro recibirás una sorpresa muy poco placentera. En vez de mostrar tus sitios favoritos, tu buscador abrirá la parte del sitio ruso de Microsoft que habla de piratería y programas legítimos.
Echen un vistazo a las dos capturas de pantalla de abajo. Hasta un usuario que no hable ruso puede detectar la diferencia entre ambos sitios.




 

La primera imagen muestra un sitio legítimo de Microsoft dedicado a explicar las medidas contra la piratería y las tecnologías de Activación de Productos de la empresa.
La segunda muestra el sitio falso. El texto de esta página está incluido en el cuerpo del troyano y, por supuesto, contiene un mensaje muy diferente. Además, cuando el navegador abre el sitio falso, no muestra una dirección URL exactamente igual a la de la página genuina de Microsoft.
Esta parte del ataque es muy elaborada. Ambas páginas son tan similares que hasta pueden llegar a burlar a usuarios experimentados. La casilla gris del centro de la página falsa contiene el siguiente mensaje:
Atención: Desde el 5.11.2008, Microsoft comenzará a cobrar una subscripción anual por el uso de su buscador de Internet. La subscripción anual cuesta 30 rublos.
Para pagar envíe un SMS con el texto 4446 al número 165258436.
Ingrese el código de activación que reciba.
{Nota del traductor: El botón de la parte derecha del mensaje dice ‘Activación’}.
Parece que el autor de este troyano es un ruso que decidió ganar algo de dinero extra aprovechando el servicio de pago de SMS, una idea común entre los escritores de virus de hoy en día. Aunque 30 rublos no es una cantidad muy grande (sólo es alrededor de $1.10), cualquier suma de dinero ayuda en estos días de crisis.
Pero, ¿qué pasa si el usuario cree la farsa de la subscripción y envía un SMS al número provisto? Lógicamente, tendrá que pagar por el mensaje. Pero esto no es todo: además, su navegador dejará de funcionar hasta que el usuario escriba el código de activación. Cuando la víctima trate de escribirlo, se mostrará otro mensaje diciendo: ‘Vvedennyii kod neveren’ (el código que ingresó es inválido). El mensaje está codificado en el troyano como se muestra en las capturas de pantalla de abajo:


 

No sé si el troyano fue creado por un principiante que escribe códigos erróneos, por alguien con un sentido del humor muy raro, o simplemente por una persona codiciosa que quiere llenarse los bolsillos con la mayor cantidad de dinero posible. Pero, sea como fuere, seguro cree que si el usuario fue tan ingenuo como para enviar un SMS, probablemente enviará un segundo y hasta un tercero para pedir que le envíen el código de activación de una vez por todas.
Pero, sin importar cuántos mensajes envíe, la única manera de recuperar la funcionalidad del equipo afectado será desinfectándolo con un producto antivirus o cambiar Internet Explorer por algún otro navegador.
Nos hemos puesto en contacto con la empresa que subarrienda el número Premium utilizado en la estafa. Esperamos que ellos pongan fin a esta actividad criminal.
Mientras tanto, si has sido víctima de este ataque o de alguno similar que envíe mensajes de texto desde tu teléfono, habla lo antes posible con tu operador de teléfonos móviles. Ellos pueden reembolsarte el dinero que perdiste.

Todo sirve…

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada