Facturas falsas propagan ransomware por correo electronico

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

‚ÄúSi algo funciona, no lo toques‚ÄĚ. Esa parece ser la m√°xima que est√°n aplicando algunos grupos de ciberdelincuentes durante este a√Īo a la hora de generar nuevas campa√Īas de propagaci√≥n de malware. Y es que han sido varias las ocasiones en las que hemos observado c√≥mo durante este 2015 se ha utilizado el cl√°sico m√©todo de adjuntar una supuesta factura a un email para propagar varios tipos de malware, desde troyanos bancarios a ransomware, como el caso que nos ocupa.

LA FACTURA MISTERIOSA

Todo comienza con la recepci√≥n en la bandeja de entrada del usuario de un misterioso correo en el que simplemente se nos env√≠a un fichero adjunto y nos escriben un escueto: ‚ÄúUn saludo‚ÄĚ. Los remitentes suelen ser otros usuarios con cuentas de email personales de proveedores espa√Īoles como Wanadoo.es, Arrakis.es o Terra.es.

filecoder_fact1

Obviamente, este correo está pensado para que toda la atención recaiga sobre el fichero adjunto, fichero que, como suele ser habitual en estos casos, viene comprimido ocultando la verdadera extensión. Si descomprimimos el fichero y tenemos activada la opción de ver la extensión de los archivos, observaremos que del supuesto documento de Word no hay ni rastro. Lo que sí que obtendremos es un bonito ejecutable con muy mala pinta (y no porque utilice el icono de la papelera de reciclaje para identificarse).

filecoder_fact6

En este caso, estamos ante un malware del tipo ransomware detectado por las soluciones de seguridad de ESET de forma genérica como Filecoder. La buena noticia es que tanto esta variante como las que han ido apareciendo desde hace unos días son detectadas rápidamente, especialmente si tenemos activado el sistema Livegrid en nuestro antivirus ESET.

LA CONEXI√ďN RUSIA-CHINA

Haciendo un an√°lisis r√°pido en un servicio online como puede ser malwr.com, obtendremos informaci√≥n muy interesante sobre esta muestra. Para empezar, podremos comprobar que se trata de un malware que se encarga de comunicarse con servidores controlados por los delincuentes para descargar otras variantes de malware, seg√ļn les interese en ese momento.

Tambi√©n podemos ver a qu√© dominios se conecta el malware e intentar averiguar as√≠ su procedencia. En este caso, parece bastante obvio que esta campa√Īa procede de Rusia, aunque nunca podemos estar seguros al 100 %, puesto que los delincuentes podr√≠an estar usando proxies o m√°quinas infectadas ubicadas en otros pa√≠ses alejados de su residencia habitual para dificultar las investigaciones.

filecoder_fact2

En este caso en concreto, vemos como aparte de apuntar al domino yandex.ru (conocido buscador ruso bastante utilizado en ese pa√≠s), se hace referencia a una web que utiliza un dominio peculiar. Se trata de rightwell.su, web que no est√° activa en el momento de escribir estas l√≠neas y que utiliza el dominio que se le asign√≥ a la extinta Uni√≥n Sovi√©tica antes de que esta desapareciera, dominio que solo suele utilizarse internamente en Rusia por la administraci√≥n p√ļblica en casos concretos.

Además, y siguiendo con la regla de no fiarse nunca de las apariencias, vemos que ese dominio se registró este mismo verano a una empresa china que controla muchos otros dominios. Podría tratarse perfectamente de un ciudadano ruso que haya comprado este dominio a través de la empresa china, pero también de alguien de otro país que quisiera dejar pistas falsas.

filecoder_fact3

IMPACTO DEL MALWARE

Como era de esperar, el objetivo principal de los delincuentes que est√°n detr√°s de esta campa√Īa es Espa√Īa. El uso del espa√Īol como idioma en el email y cuentas de correo asociadas a proveedores espa√Īoles parecen puntos clave. No obstante, la difusi√≥n tambi√©n est√° limitada a nuestro pa√≠s, tal y como puede observarse en el siguiente mapa de detecciones obtenido de nuestro servicio Virus Radar.

filecoder_fact4

El porqu√© no se ha aprovechado la utilizaci√≥n del espa√Īol para intentar propagar esta amenaza a otros pa√≠ses de Latinoam√©rica es punto curioso. No obstante, es posible que los delincuentes de este tipo de campa√Īas prefieran centrarse en un pa√≠s en concreto, algo que ya vimos en el caso del famoso ransomware de correos hace ahora casi un a√Īo.

CONCLUSI√ďN

Si los usuarios que reciben este tipo de amenazas por correo electr√≥nico est√°n m√≠nimamente formados en materia de seguridad, es realmente dif√≠cil que caigan en una trampa tan burda. Sin embargo, las altas tasas de detecci√≥n de este (y otros malware) que hemos observado durante las √ļltimas semanas en Espa√Īa nos indican que a√ļn queda mucho trabajo por hacer y mucho usuario por concienciar.

Fuente:http://blogs.protegerse.com/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone