La noticia está llamativa que con el título es suficiente. Los compañeros de ESET nos informan de una campaña ocurrida en Chile sobre un premio totalmente falso en el que se informa al receptor de que ha sido ganador de un iPhone 6, utilizando para ello la imagen de una gran empresa de telecomunicaciones de Chile. Para obtener el supuesto premio, el usuario debe descargar un comprobante para reclamar su premio. ¿Cuál es el problema? En el momento en que se produce la descarga del supuesto formulario, se obtiene un ejecutable de la familia Win32/TrojanDownloaderZurgop.En la imagen podemos ver el enlace desde el cual se obtiene la descarga este formulario tan dañino, el cual apunta a un sitio web de Eslovaquia. Con esto, el usuario ya tiene información de sobra para saber que algo extraño ocurre, y que no debería seguir con el proceso de descarga.
 |
| Figura 1: Correo electrónico malicioso |
¿Y si el usuario decide descargar el formulario? Si el usuario continua con el proceso lo que obtiene es el ejecutable comentado anteriormente. Por el contenido de correo electrónico uno se da cuenta de que el objetivo es el usuario chileno, aunque se han detectado casos en otros países como México, Perú, Argentina, Ecuador y Colombia, ya que han tenido mayores niveles de detección de esta misma variante de malware.
Hemos visto el análisis dinámico que han llevado a cabo de la amenaza y ésta genera información de un comportamiento interesante por parte del malware. El binario que se descarga y se ejecuta es inferior a 1 MB. Cuando se realiza su ejecución parece no ocurrir nada, pero analizando los procesos de memoria se puede visualizar como se crea un archivo en una carpeta del sistema, y una vez que se termina su escritura se cierra el proceso inicial, ejecutando el archivo recién creado.
 |
| Figura 2: Process Monitor analizando los ficheros y su actividad |
Otra de las acciones que se identificaron es que estos binarios pueden hacer que un atacante descargue archivos al dispositivo de la víctima desde otro equipo o ubicación. Seguiremos atentos a la campaña y a las posibles variantes que surjan de este tipo de ataques.
No hay comentarios:
Publicar un comentario