Ya empieza a sonar el malware navideño…

Una vez más los cibercriminales se aprovechan de las vacaciones navideñas para lanzar sus ataques dirigidos a negocios y organizaciones gubernamentales. Trend Micro ha detectado algunas muestras de malware con el nombre de fichero “PROPOSED CHRISTMAS PARTY 2012.doc”, que nuestros laboratorios han nombrado como TROJ_ARTIEF.RTN. Cuando se ejecuta, este malware deja un fichero (temp.doc) que actúa como una supuesta invitación a una oficina de gobierno de la ciudad concreta, para asistir a una fiesta navideña.

Además, este malware se aprovecha de la vulnerabilidad (MS12-027) Vulnerability in Windows Common Controls Could Allow Remote Code Execution (2664258) y abrir una puerta trasera que es detectada como BKDR_GAMFRIC.A. Una vez que se ejecuta en el sistema infectado, BKDR_GAMFRIC.A se conecta a su servidor  C&C (de comando y control) y ejecuta los siguientes comandos, que ponen en compromiso la seguridad del sistema:

  1. Descarga y ejecuta ficheros arbitrarios
  2. Obtiene información de Red
  3. Captura el nombre de usuario y el nombre del PC
  4. Recopila aplicaciones instaladas
  5. Ejecuta comandos via Shell

Esta puerta trasera también chequea qué navegador web se está utilizando y crea procesos ocultos para inyectar sus códigos maliciosos. Intuimos que este ataque utiliza un mensaje como mecanismo de entrega para penetrar en la red del sistema inicial de la red. En nuestra campaña Covert Arrivals: Email’s Role in APT Campaigns describimos cómo el correo es utilizado por los “generadores de amenazas” como un punto de entrada de las Amenazas Persistentes Avanzadas. Estos mensajes de correo electrónico utilizaban técnicas de ingeniería social para engañar a los usuarios. En este caso, los cibercriminales emplearon tarjetas de felicitación de navidad y anuncios de fiestas navideñas. En estas fechas nuestros ingenieros de TrendLabs están analizando este tipo de comportamientos y eventos históricos.

En el pasado, localizamos varios incidentes que se produjeron durante estas fechas . En los siguientes posts, podéis verlos con detalle:

Desde ese mismo momento nuestra SMART PROTECTION NETWORK detecta este tipo de amenazas y previene a los usuarios de infecciones.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.