News

Trojan-SMS.WinCE.Sejweek

Los nuevos programas que atacan a los dispositivos móviles ya no llaman la atención de los medios; ya nos hemos acostumbrado al malware para smartphones. Pero de vez en cuando aparece uno que sobresale del resto: y, en este caso, es Trojan-SMS.WinCE.Sejweek.a, un nuevo programa diseñado para enviar mensajes SMS desde un dispositivo infectado. ¿Qué lo diferencia de otros troyanos de SMS? Veamos lo que hace:

La mayoría de los programas que envían mensajes SMS a números Premium utilizan un número y un mensaje de texto que están codificados en el mismo malware. Pero Sejweek es un poco diferente: cuando se lo ejecuta, el troyano intenta descargar un archivo XML al smartphone desde http://today*******.cn/*****/*****/get.php. Al momento de escribir esta entrada, el archivo se veía así:

Este archivo contiene el número Premium (rodeado de la etiqueta); el texto SMS (); y el tiempo que debe transcurrir entre los mensajes que se envíen (). Al separar el número en otro archivo, en lugar de dejarlo en el mismo malware, se hace más fácil cambiar el número si el primero se bloquea, lo que extiende el tiempo de ataque y maximiza las ganancias.

Si el archivo XML se descarga con éxito, el malware decodifica “YGLYGLMKTYGL” y “YGLYGL” (por ejemplo, el número a los que se envían los SMSs y el tiempo de espera entre el envío del siguiente SMSs) y lo convierte en “1151” y “11”. En otras palabras, los mensajes que dicen 60*** se envían al número Premium 1151 con un intervalo de 11 segundos entre mensajes. Como cada SMS que se envíe al 1151 cuesta alrededor de 40 rublos (poco más de $1), las pérdidas de los dueños de los aparatos infectados pueden ser substanciales.

Trojan-SMS.WinCE.Sejweek

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada