Los
temas relacionados con la banca son muy utilizados por los ciberdelincuentes
para distribuir correos spam entre los usuarios. Una prueba de ello es la nueva
oleada que ha sido detectada utilizando la imagen del Banco de América para
influir negativamente entre los usuarios. Los archivos adjuntos no son
documentación tal y como se indica en el cuerpo sino una copia de un troyano.
La
cuenta de correo desde donde se envía los spam es muy similar a la del Banco de
América, pero no es igual y a simple vista puede parecer la misma. En el cuerpo
del mensaje solo se indica que se recuerda al usuario que debe mirar de forma
detenida la información adjuntada en el correo sobre el contrato de las cuentas
que se han abierto. Además se añade que toda la información contenida en este
correo es confidencial y que bajo ningún concepto se va a distribuir o
compartir con otras personas o entidades.
Un
zip con copias del virus en vez de documentación
Después
de la primera parte llega la segunda en la que el usuario descarga el archivo
comprimido. En esta ocasión, el usuario se encuentra con un archivo comprimido
llamado AccountDocuments.zip. Una vez que este se ha descargado nos encontramos
en el interior del mismo con los archivos que en un principio son la documentación
pero que en realidad son copias de Cryptowall:
- AccountDocuments1.scr
- AccountDocuments2.scr
- AccountDocuments3.scr
- AccountDocumentsBank.scr
Se
tratan de 4 copias del mismo virus haciendo todas lo mismo: cifrar los archivos
del equipo y pedir una cantidad de dinero para poder tener acceso de nuevo a
los archivos que han sido cifrados.
La
variante además trata de establecer comunicación con las siguientes
direcciones:
- 94.23.247.202/0408cnet28/SANDBOXB/0/51-SP2/0/
- 94.23.247.202/0408cnet28/SANDBOXB/1/0/0/
- dirbeen.com/khalid53/cnet28.zip
- ibuildchoppers.com/wp-content/gallery/choppers/cnet28.zip
Según
se ha podido saber busca con esta comunicación instalar malware adicional para
poder complicar aún más la utilización del equipo, algo que se puede evitar
bloqueando estas direcciones en el firewall que tengamos instalado en el mismo.
Fuente: Dynamoo´s blog