Falso correo electrónico usurpa la identidad del servicio gusanito.com

 

En una de nuestras publicaciones anteriores en este blog, se realizó el análisis de una muestra de malware que se distribuía mediante supuestos correos del servicio de postales gusanito.com y recientemente fueron reportados casos similares al UNAM-CERT. A continuación se muestra el falso correo electrónico:

 

 

Ransomware en Web

Recientemente se detectó un sitio malicioso que implementaba una variante de Ransomware, este sitio en vez de generar una descarga desde el equipo del usuario para posteriormente bloquear la sesión del mismo, realizaba el bloqueo del navegador Web que el usuario utilizaba.

El dominio por el cual el navegador se veía afectado correspondía a un sitio con contenido pornográfico, por lo cual el usuario que visitaba este sitio tenía más posibilidades de creer que había incurrido en un delito y con ello realizar el depósito que se pedía.

A continuación se muestra una imagen con el contenido principal de la página web.

Falso mensaje de voz se propaga por correo electrónico

 

El Equipo de Respuesta a Incidentes de Seguridad en Cómputo de la UNAM, recibió el reporte sobre un correo electrónico que contenía adjunto un supuesto mensaje de voz con el nombre "VoiceMassage.zip", el cual contenía el archivo ejecutable "VoiceMessage.exe" con un icono que hacía referencia a un archivo de audio, por lo cual el equipo de análisis de software malicioso procedió a investigar el archivo sospechoso. A continuación se muestra en Process Explorer que el programa en ejecución "VoiceMessage.exe" inicia un subproceso con el nombre "budha.exe":

 

 

Virus que explota vulnerabilidad en el servicio SMB de Windows.

A continuación se muestra el análisis realizado de un archivo malicioso, el cual intentaba explotar una vulnerabilidad en un servicio Windows con la finalidad de seguirse propagando.

El archivo capturado fue renombrado a 25112013.exe, a continuación se muestra la firma MD5 del mismo.

MD5: ea421c108a5256a7c1197877b7615f27

El análisis de cadenas permitió identificar ciertas funciones que el malware utilizaba posiblemente para la creación, ejecución y manejo de archivos en el sistema infectado.

Virus utilizado para robar datos de navegación de Internet Explorer

A continuación se muestra el análisis de un virus que se capturó en días recientes el cual tiene como objetivo robar los datos de navegación que se almacenan en el equipo del usuario infectado. La muestra lleva por nombre 07102013.exe y tiene las siguientes firmas:

MD5: f87231e93678130e635c0a6219e0a14a

SHA256: b87a2c53716970b2046a38cf7743e4c20484877aa68c0fc9b44bf8afbc9b1667

El análisis de cadenas permitió observar diferentes funciones de la biblioteca de Windows utilizadas por el malware tales como WriteFile, ReadFile, GetSystemTime; por lo cual se puede esperar la creación de algún tipo de archivo.