Ransomware CTB-Locker, propagación masiva

 

Resumen

 

La muestra nonchalantly.src se propaga por medio de correo electrónico y tiene comportamiento de tipo dropper y downloader, así inicia una infección por CTB-Locker (Curve Tor Bitcoin Locker). Si un usuario descarga el archivo adjunto y lo ejecuta, se abre un documento en Microsoft Word y descarga el software malicioso identificado como "CTB-Locker", "FileCoder" o "Critroni", que cifra archivos en el equipo comprometido.

 

 

Un vistazo a la situación de phishing y malware en México (agosto - septiembre)

Resumen

Todos hemos recibido al menos un mail falso en nuestra cuenta de correo electrónico que busca obtener información personal (como usuarios, contraseñas, datos de tarjetas bancarias, etc.) o que nos redirige a la descarga de programas maliciosos. A estos correos electrónicos que aparentan venir de una fuente confiable se les conoce como phishing y hacen uso de técnicas de ingeniería social para engañar a los usuarios. A continuación se muestra un análisis general de varias muestras de malware relacionadas con sitios phishing que fueron reportados al UNAM-CERT, esto con el objetivo de mostrar algunos de los casos más comunes y disminuir el número de usuarios afectados.


Dropper que se comunica con su C&C mediante Secure Shell

 

Resumen:

 

El software malicioso "Puppy-pics-67326322.scr" clasificado como "dropper" está compuesto de varios elementos destinados a realizar diferentes tareas. Los más importantes son: "3proxy", un servidor que la muestra usa para "click fraud" (una práctica fraudulenta para generar clics repetidamente en un anuncio alojado en un sitio web con la intención de producir ingresos) y "PuTTY link" un cliente SSH que usa para conectarse al servidor malicioso.

 

 

Documento en Microsoft Office Excel malicioso

 

Resumen:

 

El documento en Excel "3-L2.xls", propagado por correo electrónico, explota la vulnerabilidad "CVE-2012-0158" también conocida como MSCOMCTL.OCX Remote Code Execution que afecta a algunas versiones de Microsoft Office 2003, 2007 y 2010. El archivo contiene instrucciones cifradas con XOR, además de dos archivos embebidos que también están cifrados (set.xls y ews.exe) y que genera en el sistema de archivos en tiempo de ejecución. Además captura las pulsaciones del teclado y las almacena en el archivo "user.bin".

 

 

Descarga de malware desde sitio falso para consultar CURP

Resumen

En este reporte se describe el análisis de una muestra que se obtuvo de un sitio donde supuestamente se podía consultar y descargar la CURP (Clave Única de Registro de Población) de México. El troyano recolecta información del sistema y la envía cifrada a varios servidores remotos. También utiliza tres métodos distintos para asegurar su persistencia en el equipo infectado.