News

Una historia de fechas absolutamente imposibles

Hace unos días comenzamos a recibir una interesante serie de mensajes spam. Estos son fragmentos de los encabezamientos de tres ejemplos:

Aunque tienen direcciones IP y remitentes diferentes y los temas no tienen nada en común, las supuestas fechas de envío de los tres mensajes tienen una extraña similitud. Analicémoslas más detenidamente:

Ejemplo ‘a’
Fecha real: Lunes 3 septiembre 2007 21:39:36 +0300
Fecha falsa: Lunes 34 de agosto de 2007 13:39:47 -0500

Ejemplo ‘b’
Fecha real: Martes 4 septiembre 2007 08:36:52 +0300
Fecha falsa: Martes 35 agosto 2007 13:36:53 +0800

Ejemplo ‘c’:
Fecha real: Martes 4 septiembre 2007 08:50:38 +0300
Fecha falsa: Martes 35 agosto 2007 00:50:51 -0500

Sin contar el tiempo de envío y cambio de horario, las fechas reportadas no sólo son incorrectas, también parecen haber sido calculadas por el mismo algoritmo errado (contando el número de días que han pasado desde el 1 de Agosto, por eso 3 de Septiembre se convierte en 34 de Agosto).

Aunque hemos visto mucho spam con fechas incorrectas, este caso particular es muy interesante, porque al parecer lo que causa los errores en las fechas es un bug en el programa de spam. Eso nos permite ver lo que está enviando ese spammer (o usuario del programa de spam infectado) en particular. Entonces, ¿qué están enviando?

Aquí les mostramos el contenido del primer correo:

Los otros dos correos son el típico caso de spam de imagen: texto poco significativo e imágenes adjuntas. Aquí se los mostramos, por si le interesa a alguien:

El archivo ZIP del primer correo contiene un archivo ejecutable llamado “iloveyou.exe”, que pesa 20992 bytes. Lo detectamos como Trojan-Downloader.Win32.Agent.crz. Esto no nos sorprende del todo; sospechábamos que un par de muchachos traviesos estaban enviando spam y malware desde los mismos sistemas, pero no teníamos evidencia sólida para confirmarlo.

Aunque un par de fechas inexactas parece un detalle insignificante, errores como esos nos permiten encontrar a los muchachos traviesos y, con el tiempo, dar suficiente información a las autoridades para atraparlos. Sin embargo, esos pequeños deslices son cada vez más escasos: los criminales cibernéticos aprenden de sus errores, porque saben que el más mínimo descuido puede mandarlos a la cárcel.

Una historia de fechas absolutamente imposibles

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada