News

Vigilando la red zombi

Como escribimos ayer, la red zombi Kido ha instalado otro conocido gusano en los equipos infectados: Iksmas, también conocido como Waledac.
Iksmas se descarga del servidor goodnewsdigital.com, un recurso que no es nuevo para los investigadores y es una de las principales fuentes de distribución de Iksmas.

Utilizando tecnología heurística, Kaspersky Anti-Virus detectó de forma proactiva la variante de Iksmas que descarga Kido como HEUR:Worm.Win32.Generic. La nueva versión de Kido (Worm.Win32.Kido.js) también se detectó como un programa nocivo utilizando esta tecnología.

Decidimos mantener la red vigilada para ver qué haría el gusano Iksmas después de instalarse en los ordenadores infectados.

En un periodo de 12 horas, Iksmas se conectó con sus centros de control en todo el mundo varias veces y recibió comandos para enviar correos spam. Todos los mensajes spam que la red zombi envió anoche ofrecían productos farmacéuticos. Estos son algunos ejemplos traducidos de estos mensajes:

Asunto: ¡Una oportunidad única para disfrutar de una vida más saludable!
Noticias Novedosas que te interesarán http://ie.hipraputt.com/
Asunto: Agrega potencia a la herramienta de tu hombre
Distribuimos productos pornográficos desde 1972. ¡Prueba las píldoras azules y mantente despierto junto a todas tus mujeres! ^M
http://bv.relaxkind.com/

Asunto: Una vida ardiente: recibe nuestra ayuda. ¡Asegura tu resistencia hoy mismo!
La solución para los miembros pequeños http://bj.jilfawris.com/

Asunto: ¡Soluciones perfectas para tenerla dura como una piedra!
Tu único y preferido farmacéutico en línea http://zer.jilfawris.com/

Asunto: ¡Soñará contigo día y noche!
Ámala donde y cuando quieras. http://lrmt.jilfawris.com/

En sólo 12 horas, un solo zombi envió 42.298 mensajes spam.

Como pueden haber notado, los mensajes contienen enlaces a dominios de la red. Básicamente cada correo contiene un dominio único. Los delincuentes hicieron esto para evitar que los filtros de spam detectaran los correos masivos utilizando métodos que analizan la frecuencia en la que se envía un dominio específico.

Detectamos 40.542 dominios de tercer nivel y 33 de segundo nivel. Todos pertenecían a spammers y a las empresas que contrataron sus servicios para que las publicitaran.

Aquí hay algunas capturas de pantalla de los sitios:

Esta es la lista completa de los dominios de segundo nivel que se utilizaron en los correos:

aromatangy.com
calmchic.com
crisppride.com
cykduhdao.com
deblanf.com
eslihos.net
fabjust.com
fadvyil.com
fadvyil.net
faynetr.com
goodcure.at
gooddoctoronline.at
gooddoctorscare.at
gooddoctorsite.at
gooddoctorworld.at
gooddruginfo.at
gooddrugonline.at
gooddrugsite.at
gooddrugworld.at
goodearthlawncare.at
gotbake.net
hereftu.net
hipraputt.com
jilfawris.com
kepiseu.com
kepiseu.net
multinew.com
plumppeak.com
relaxkind.com
uljyelsel.com
vapshei.net
yuleaware.com
zwefopcyn.com

Casi todos estos sitios se encuentran en China y están registrados bajo varios nombres, posiblemente inventados.

Un cálculo simple muestra que un robot de Iksmas envía alrededor de 80.000 correos electrónicos en 24 horas. Asumiendo que existen 5 millones de ordenadores infectados, la red podría enviar alrededor de 400.000.000.000 (¡400.000 millones!) de mensajes spam en un período de 24 horas.

Vigilando la red zombi

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada