Incidentes

Un cruce entre Skyfall y Skype

El programa malicioso de nombre compuesto SKYPEFALL.EXE es el último programa de envío de spam que está activo y propagándose mediante Skype. Lo registramos por primera vez el 3 de marzo usando castellano e inglés para atrapar a sus víctimas. ¿En qué consiste su ataque?

La víctima recibe un mensaje de Skype con el siguiente formato:

¡Dios Mío! [nombre del usuario de Skype] video: http: //********skype. info/video/?n=[nombre del usuario de Skype] Oh, My God ! [user name in Skype] video: http: //********skype. info/video/?n=[user name in Skype]

Si el usuario pulsa en el enlace desde Internet Explorer, aparece en un sitio web con un video falso repleto de comentarios que tratan de despertar su interés para que descargue un plugin que permite ver el video:

Una vez más, la URL que se usa en el mensaje malicioso que se envió mediante Skype sólo está disponible si la víctima está usando el navegador Internet Explorer. Si la víctima emplea cualquier otro navegador, la URL no está disponible.

El setup.exe inicial es un archivo RAR auto-extraíble con instrucciones integradas. Incluye un paquete completo de instalación GUI.

Con esto, la víctima recibe funcionalidades de adware y capacidades de puerta trasera. Una vez instalado en el ordenador de su nueva víctima, el programa ataca a sus contactos de Skype para seguir propagando estos mensajes spam. También descarga las instrucciones para su comportamiento desde otro servidor, que son así:

{
“skype_restart_mins”: 120,
“old_friend_hours”: 48,
“del_msgs_limit”: 5,
“send_strategy”: 1,
“max_loc_msgs”: 60}

El malware también incluye un cliente SMTP incrustado que podría permitir a los atacantes que envíen spam mediante el equipo de la víctima.

Los atacantes que encabezan esta operación están cambiando este binario en la web cada pocas horas. Lo hacen para evitar las detecciones consistentes de los antivirus.

Kaspersky Lab detecta esta amenaza como Trojan-Dropper.Win32.SkyDll.a.

Un cruce entre Skyfall y Skype

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada