Documento en Microsoft Word contiene código malicioso embebido

 

Resumen:

 

En días recientes, se han propagado por correo electrónico archivos con formato para Microsoft Word supuestamente provenientes de entidades legítimas como el SAT (Servicio de Administración Tributaria), Bancomer, Banamex, Banorte, HSBC, El Universal, MercadoLibre, Telcel, Liverpool, Profeco, Aeroméxico y Telmex. Si el usuario descarga el archivo adjunto y lo abre, verá las instrucciones de cómo habilitar las "macros" de Office dependiendo la versión que tenga instalada en su equipo de cómputo. En el siguiente análisis se mostrará el código Visual Basic embebido en el archivo "RETIRO-COMPRA_29882.doc" que descarga y ejecuta la pieza de malware "ss.exe".

 

 

Phishing de bancos a través de códigos maliciosos en VBE

 

 

Resumen:

 

 

El script malicioso "update.vbe" tiene la finalidad de descargar el archivo "seta.vbe", este último configura los navegadores para usar el archivo PAC (Proxy Auto-Config) "worman.dat" que define una lista de sitios objetivo que al ser consultados por el usuario infectado es redirigido a sitios falsos.

 

 

Troyano bancario que aparenta ser ícono del Panel de Control

Resumen

La muestra que se analiza en esta ocasión se obtuvo a partir de un reporte hecho al equipo de Análisis de Software Malicioso de la SSI/UNAM-CERT en donde se informaba que se habían encontrado supuestos programas maliciosos alojados en sitios web brasileños. Al analizarlo, se descubrió que la muestra envía información de los equipos infectados, como: sistema operativo, privilegios del usuario, plugins de seguridad bancarios y dirección IP, a una bitácora que parece estar alojada en una URL legítima.

Bot IRC alojado en dominio de Chile

 

Resumen

 

El siguiente análisis corresponde a la muestra "12-02-14.exe" que tiene por firma md5 "662c88a83f170cc138881b5dc1711a4f". Era propagada mediante enlaces en correos electrónicos que una vez consultados descargaban el archivo malicioso alojado en un sitio web de Chile. El software malicioso es un bot IRC, los cuales esperan pasivamente las ordenes del C&C (Command and Control).

 

 

Supuesta promoción mundialista redirige a la descarga de malware

 

Resumen

 

El siguiente análisis realizado al troyano "FIFA_BOLETO.exe", muestra la forma en la que opera la propagación masiva de malware por correo electrónico, aprovechando un evento internacional como lo es el "mundial de futbol 2014". El binario fue creado para descargar otro código malicioso, lo cual se conoce como "downloader".