Una campaña de malware con mensaje para el CEO de Avira

0

Es obvio que no existe una buena relación entre aquellos que intentan “romper” los sistemas ajenos con malware y las empresas antivirus, que trabajan precisamente en lo contrario, impedir que nos infecten. 

Una campaña de malware con mensaje para el CEO de Avira

Eventualmente, tal rivalidad lleva a quienes están del lado de los malos a hacer cosas específicas con el código mismo del malware. A veces intentan evitar la detección de determinadas marcas o diseñan técnicas que eviten por completo su estudio en laboratorio. Sin embargo este caso es un poco más especial …y personal.

Campaña de malware con mensaje para el CEO de Avira

Tenemos actualmente entre manos una campaña de envío masivo de Spam, que está intentando inundar buzones de todo el mundo con malware. Veamos un ejemplo de mensaje malicioso cualquiera.

Asunto

RE: Descubierto en cuenta

Cuerpo del mensaje

Este es un recordatorio de que su plazo de pago para el balance de 5746,80 finalizó el 28 de Abril de 2016.

 

Podrá encontrar un documento de referencia sobre el estado de su cuenta.

Por favor, efectúe el pago asociado a esta cuenta hoy o, si no le es posible realizar el pago completo ahora mismo, contacte con nosotros para buscar una solución apropiada para ambas partes.

El nombre y el puesto de trabajo de la persona que nos contacta estaría escogido de forma aleatoria, sin preferencia, además de la cantidad que se nos reclama impagada. Este no es el punto importante del scam.

Adjunto al email se encuentra un archivo .ZIP (de nuevo, su nombre puede variar) y contiene la “sorpresa” con malware.

El peligro está, obviamente, en que la gente que recibe el email haga click sobre el archivo adjunto (entre la confusión creada por el desconocimiento y el apremio de pago inmediato) y termine pagando una gran suma de dinero sin motivo.

¿Qué contiene el archivo ZIP?

Dentro del mismo tenemos un archivo con secuencia de comandos Javascript (ofuscado) que descarga código malicioso desde internet, para infectar los ordenadores de los usuarios.

Esta no es una forma novedosa de camuflar los “payloads” usados por los cibercriminales. Se trata de ataques de ingeniería social que han probado ser exitosos siempre, sin perder efectividad. Por eso es por lo que somos tan “machacones” hablando de las medidas preventivas a tomar.

Una campaña de malware con mensaje para el CEO de Avira 2

Lo que hace especial a este ataque en particular es, sin embargo, algo que veremos dentro del código Javascript ofuscado en el archivo ZIP. El caso es que parece que quien haya escrito esta pieza de malware no evitó incluir un mensaje ofensivo hacia Travis Witteveen, el CEO de la firma antivirus Avira, además de mencionar a una tercera compañía (con sede en Viena) llamada IKARUS Security.

“Travis Witteveen S**** N****’s c****”

Por supuesto, en modo alguno están las empresas mencionadas con la creación del malware. Su parte del trabajo es aguantar ser llamados de diferentes formas por los cibercriminales, de vez en cuando. 

Este malware es identificado por VirusTotal por una buena parte de los antivirus actualmente (aunque no todos) y Bitdefender lo califica como JS:Trojan.JS.Downloader.HU.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR