Utilizando Evernote, se ha detectado una oleada de
correos spam que informan al usuario de la presencia de un archivo nuevo en
dicho programa e invitan a visualizarlo gracias a que este se encuentra adjunto
en el correo, haciendo creer al usuario que se trata de una imagen.
Proceso del ataque
- Como suele ser habitual en estos casos, se indica al usuario que acuda a una dirección web concreta para visualizar el contenido o se adjunta un archivo adjunto relacionado con la temática del correo para así conseguir adjuntar un virus y que infecte el equipo del usuario.
- Hay que fijarse en primer lugar que el correo no está mandado desde una dirección del equipo de Evernote, siendo la dirección de este correo lcresknpwz@business.telecomitalia.it. Partiendo de esto, en el cuerpo del mensaje no se detalla demasiado, solo se hace mención a la inclusión de un nuevo documento en el servicio y que si se quiere realizar la visualización este se encuentra adjuntado.
- Con respecto al archivo que se encuentra adjunto hay que decir que en un principio se puede llegar a pensar que es una imagen, ya que el nombre del archivo comprimido es DSC_9426679.zip. Sin embargo, si realizamos la extracción del archivo veremos que en su interior parece que hay un archivo de imagen, pero esto no es así, ya que en realidad se trata de un ejecutable.
W32/Trojan.PSDJ-4224
es el virus que contiene el correo
El
virus puede que no nos resulte familiar a simple vista, pero si observamos las
direcciones a las que intenta conectarse se puede ver como son las mismas que
en el caso del correo spam de Amazon de esta misma semana. Estas direcciones
son las siguientes:
- www.zag.com.ua/333
- daisyblue.ru/333
- www.ricebox.biz/333
- brandsalted.com/333
- fbcashmethod.ru/333
- expositoresrollup.es/333
- madrasahhusainiyahkl.com/333
- sexyfoxy.ts6.ru/333
- www.huework.com/333
- siliconharbourng.com/333
- www.martijnvanhout.nl/333
Fuente: Dynamoo´s blog
