Corre por la red un e-mail falso en forma de tarjeta romántica de un sitio digital conocido, con un enlace que nos lleva a una descarga de un sito web infectado que contiene código malicioso.
Este malware detectado por ESET NOD32 Antivirus es conocido por Win32/Dorkbot.B gusano. El código malicioso se descarga bajo el nombre de Postal_Interactiva.mov.exe intentándonos engañar como si fuera una postal animada.
- El primer correo nos dirige al sitio vulnerado.
- Ejecutamos un archivo php que nos lleva al segundo sitio vulnerado.
- Descargamos el ejecutable malicioso.
Asimismo, existe un archivo que cuenta la cantidad de descargas del código malicioso. Hasta la fecha corriente, la cantidad de clics indicaba cerca de 3.000 descargas:
Análisis de la infección
Análisis de la infección
Vamos a mostrar como se desarrolla el proceso de infección de este virus porque es interesante.
Se conecta a otro sitio vulnerado para descargar una actualización del malware, esto incluye mejoras al ciberdelincuente:
Aparece otro servidor vulnerado donde encontramos un archivo de texto plano, un txt, que es descargado por el código malicioso y que lo utiliza para hacer phishing sobre la víctima:
En el listado podemos ver entidades bancarias de Chile, Colombia, Perú y Ecuador, pudiendo al atacante robar información bancaria a víctimas de diferentes países.
Una de las alternativas que utilizan los ciberdelincuentes para propagar este tipo de códigos maliciosos es esta, utilizando el virus Dorkbot. Ya ha infectado a más de 80.000 bots el Latinoamérica.
No hay comentarios:
Publicar un comentario