Descripciones de malware

WhatsApp para PC: garantiza un troyano banquero

Acabamos de recibir un mensaje spam en portugués con el siguiente texto:

208214226

En resumen, el mensaje señala que WhatsApp para PC está finalmente a disposición del público y que el destinatario tiene 11 invitaciones pendientes de amigos en su cuenta. El mensaje de correo luce así:

208214227

Al activar el enlace, se envía a la víctima a un servidor pirata en Turquía desde donde se lo direcciona a una cuenta Hightail (Yousendit) para que descargue el troyano inicial, que en el sistema se parece a un archivo de instalación de 64 bits:

208214228

Pero en realidad se trata de una app estándar de 32 bits con una moderada detección VT:

208214229

Este descargador posee algunas funciones que neutralizan las acciones de depuración: UnhandledExceptionFilter(), y RaiseException() que cuando se ejecuta descarga otro troyano: el banquero. Esta vez, el programa malicioso proviene de un servidor en Brasil y tiene una baja detección VT de 3 de 49. El troyano banquero que acaba de descargarse tiene el icono de un archivo mp3. La mayoría de los usuarios lo activaría, especialmente después de ver que su peso es de 2,5Mbps.

208214230

Para dificultar su detección, este troyano también posee algunas funciones que bloquean las acciones depuradoras del equipo, y está escrito en Delphi XE5 de Embarcadero:

208214231

Una vez que se ejecuta, el programa malicioso se pone en contacto con la consola de estadísticas de infecciones de los ciberdelincuentes, y cuando se abre, un puerto local 1157 envía la información robada en formato Oracle DB. Además, descarga otros programas maliciosos en el sistema, algunos de los cuales tienen un tamaño de hasta 10Mb.
Este troyano sigue el estilo clásico de los programas maliciosos creados en Brasil.

Kaspersky Anti-Virus detecta estos programas maliciosos con el método heurístico. Es necesario que estemos alertas para evitar caer en la trampa.

Puedes seguirme en Twitter: @dimitribest

WhatsApp para PC: garantiza un troyano banquero

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada