Category Archive Infecciones y Malware

PorjLeonett

Un correo spam del Banco de América contiene una copia de Cryptowall

Los temas relacionados con la banca son muy utilizados por los ciberdelincuentes para distribuir correos spam entre los usuarios. Una prueba de ello es la nueva oleada que ha sido detectada utilizando la imagen del Banco de América para influir negativamente entre los usuarios. Los archivos adjuntos no son documentación tal y como se indica en el cuerpo sinouna copia de un troyano.

 

En el día de ayer ya hablamos de los problemas con las cuentas de correo de Intuit que estaban siendo utilizadas para enviar correos con una copia del troyano Crptowall, en esta ocasión el troyano que se utiliza es el mismo pero con la única salvedad de que este es adjuntado varias veces con la finalidad de hacer creer que existen varios documentos que poseen información en el archivo comprimido.

La cuenta de correo desde donde se envía los spam es muy similar a la del Banco de América, pero no es igual y a simple vista puede parecer la misma. En el cuerpo del mensaje solo se indica que se recuerda al usuario que debe mirar de forma detenida la información adjuntada en el correo sobre el contrato de las cuentas que se han abierto. Además se añade que toda la información contenida en este correo es confidencial y que bajo ningún concepto se va a distribuir o compartir con otras personas o entidades.

Un zip con copias del virus en vez de documentación

Después de la primera parte llega la segunda en la que el usuario descarga el archivo comprimido. En esta ocasión, el usuario se encuentra con un archivo comprimido llamado AccountDocuments.zip. Una vez que este se ha descargado nos encontramos en el interior del mismo con los archivos que en un principio son la documentación pero que en realidad son copias de Cryptowall:

  • AccountDocuments1.scr
  • AccountDocuments2.scr
  • AccountDocuments3.scr
  • AccountDocumentsBank.scr

Se tratan de 4 copias del mismo virus haciendo todas lo mismo: cifrar los archivos del equipo y pedir una cantidad de dinero para poder tener acceso de nuevo a los archivos que han sido cifrados.

La variante además trata de establecer comunicación con las siguientes direcciones:

  • 94.23.247.202/0408cnet28/SANDBOXB/0/51-SP2/0/
  • 94.23.247.202/0408cnet28/SANDBOXB/1/0/0/
  • dirbeen.com/khalid53/cnet28.zip
  • ibuildchoppers.com/wp-content/gallery/choppers/cnet28.zip

Según se ha podido saber busca con esta comunicación instalar malware adicional para poder complicar aún más la utilización del equipo, algo que se puede evitar bloqueando estas direcciones en el firewall que tengamos instalado en el mismo.

Fuente | Dynamoo´s blog

PorjLeonett

SandroRAT, un malware que se hace pasar por Kaspersky Mobile Security

Los virus para el sistema operativo móvil de Google siguen siendo un problema para los usuarios y ua prueba de ello es la nueva amenaza malware que ha sido detectado por expertos en seguridad. SandroRAT, que así es como se llama esta nueva amenaza, se está distribuyendo por toda Europa haciendo uso de mensajes de correo electrónico donde se encuentra el instalador adjuntado.

 

El correo electrónico que se está enviando a los usuarios se encuentra en inglés e indica al usuario sobre un problema de seguridad detectado en el terminal y que podría comprometer las aplicaciones bancarias instaladas en este. En el correo se indica que se instale la aplicación adjuntada para así conseguir eliminar por completo el virus. Sin embargo, a pesar de que se indica que el instalador adjuntado es de la suite de seguridad Kaspersky Mobile Security esto no es así y en realidad lo que se va a instalar es SandroRAT.

Este malware permite principalmente controlar el dispositivo Android de forma totalmente remota y sin que el usuario sea consciente, pudiendo tener acceso tanto a las aplicaciones como a los datos generados por estas y almacenado por el propio usuario.

Los datos que corren peligro en el terminal

Con este malware una tercera persona puede tener control total sobre el dispositivo, tal y como ya hemos mencionado con anterioridad. Los mensajes de texto y los datos de aplicaciones como Twitter o Whatsapp son el principal objetivo de los ciberdelincuentes, pudiendo copiarlos, editarlos o incluso añadir contenido sin que el usuario pueda evitarlo. Incluso el virus posee la capacidad de descifrar contenido que pueda encontrarse cifrado en el dispositivo.

¿Qué puedo hacer para evitar ser infectado?

En primer lugar desactivar la instalación de software de orígenes deconocidos, de esta forma evitaremos que cualquier archivo que no se descargue desde Play Store pueda ser instalado. En segundo lugar se pide a los usuarios extremar las precauciones con este tipo de correos, sobre todo si poseen una dirección de origen desconocida. Y por último se recomienda no realizar descargaras de aplicaciones de páginas de legitimidad dudosa o de tiendas alternativas.

Fuente | The Hacker News

PorjLeonett

POWELIKS, un malware que afecta a Windows y no tiene instalador

El malware siempre resulta peligroso por muy poco sofisticado que sea. Sin embargo, con este nuevo que se ha detectado el peligro es mucho más grande ya que no necesita ningún tipo de instalación en el sistema.POWELIKS, que así es como se llama, está programado para infectar los sistemas operativos Windows y robar la información almacenada en dicho sistema.

 

Hasta el momento parece algo común, o por lo menos hasta lo que hemos visto hoy en día. Sin embargo, este virus es persistente en el sistema sin necesidad de instalación, es decir, solo se replica en el registro de Windows y no necesita crear ningún tipo de archivo adicional. Con esto lo que se quiere evitar es que el virus sea detectable con mucha facilidad gracias a estos archivos.

El malware se extiende a otros sistemas infectando archivos de Microsoft Word que se extienden utilizando las cuentas de correo que se utilizan en los equipos infectados.

¿Cómo evita ser detectado por las herramientas de seguridad?

Todo se encuentra en el registro en entradas ocultas. En un primer momento intenta conectarse a una dirección IP para así recibir nuevos comandos que son ejecutados. El virus es residente y cada vez que el equipo se inicie este se iniciará con el sistema operativo gracias a las claves creadas en el registro que se encuentran ocultas. La mayoría de las entradas del registro no son caracteres ASCII. De esta forma el sistema no los puede interpretar y las herramientas de seguridad no son capaces de detectarlas.

poweliks malware windows

Las habilidades que posee POWELIKS

Hasta el momento solo hemos hablado de las capacidades que posee el malware de ocultarse en el sistema. Cuando este recibe más comando a ejecutar, el número de funciones aumenta de forma considerable, siendo capaz de instalar programas espía o troyanos bancarios. Además, permite unir al equipo a una botnet para realizar ataques DDoS distribuidos. Por último, se ha visto que también es capaz de generar anuncios falsos en el sistema para llevar al usuario al engaño y así conseguir robar cuentas de servicios o incluso dinero.

Solución: detectar el archivo Word infectado

Después de ver la dificultad para detectar el virus una vez que este se encuentra en el sistema, los esfuerzos de las compañías de seguridad se están centrando en conseguir detectar el archivo de Microsoft Word que está infectado antes de que sea abierto por el usuario.

Fuente | The Hacker News

PorjLeonett

Fake-ID permite ocultar malware en aplicaciones fiables en Android

Android es el sistema operativo más utilizado en todo el mundo, pero a la vez el más atacado por los piratas informáticos. El malware también es uno de los aspectos más preocupantes de este sistema operativo, pero cuando ambos aspectos se juntan puede suponer un considerable peligro para los usuarios.

 

Los investigadores de seguridad de BlueBox han detectado una vulnerabilidad en el sistema de comprobación de firmas digitales para Android que identificaron como vulnerabilidad de ID falso o Fake-ID. Esta vulnerabilidad afecta a todos los usuarios de Android desde la versión 2.1 (Eclair, lanzada en 2010)hasta la actual 4.4 KitKat lanzada hace un año.

La vulnerabilidad permite a un pirata informático utilizar un certificado falso (por ejemplo, un certificado de Adobe) para firmar una aplicación maliciosa con él y que a la hora de instalarla se muestre a Adobe como propietario de la misma. El usuario confiará en la aplicación al creer que viene de una empresa fiable, sin embargo, por debajo de dicho certificado se puede esconder cualquier tipo de malware, por ejemplo, un troyano bancario o un software que envíe mensajes a números de tarificación adicional, sin embargo, los principales fines con los que se ha utilizado esta vulnerabilidad han sido para atacar el monedero de Google, Google Wallet.

Google ya lanzó un parche el pasado mes de abril para todos los usuarios de su sistema operativo, sin embargo, este parche únicamente ha sido introducido en los dispositivos Nexus (los únicos que tienen actualizaciones tempranas) y en algunas roms como CyanogenMod que actualizan también a diario con nuevos parches y mejoras. Pocos más dispositivos han recibido el parche de Google y solucionado esta vulnerabilidad debido a que el mantenimiento en este aspecto de los fabricantes deja mucho que desear, por ello, millones de dispositivos.

 

Fuente: Redes Zone