21 de septiembre de 2014

MALWARE. Reservas de hotel falsas contienen virus en documentos Word

La nueva oleada de spam está diseñada para afectar tanto a los establecimientos hoteleros y de alojamiento en general como a los usuarios particulares. El correo incluye un documento en el que se hace creer que se detalla más información sobre las reservas, sin embargo, lo que se busca es que el usuario abra los documentos Word y active las macros para conseguir infectar el equipo con el malware.
Descarga del archivo colfdoc.it/cart/update.exe
  • En el caso de los establecimientos hoteleros, se hace creer que en dicho documento se adjunta información relacionada con una reserva realizada y algunas características que estarían sujetas a ser incluidas siempre que se encuentren disponibles.
  • Sin embargo, en el caso de los usuarios particulares de lo que se informa es de algo muy distinto. Se intentar hacer creer que se ha procedido a realizar una reserva con una tarjeta de crédito y que ha existido un problema para finalizar el proceso de compra de forma correcta.
  • Los usuarios y establecimientos que opten por descargar los documentos Word e intenten visualizar la supuesta información se encontrarán con un mensaje que informa sobre que se han desactivado las macros. Hay que tener muy en cuenta que para que los virus VB logren ejecutarse estas deben permanecer activadas, por lo tanto, abrir el documento no supone infectar el equipo con dicho malware. En este caso activar la macro supone la descarga e un archivo, siendo este el auténtico virus que se va a instalar, conocido como Win32/TrojanDownloader.Wauchos.AF.
  • El virus, tal y como es de suponer, afecta únicamente a todos los sistemas Windows y las herramientas de seguridad que existen en la actualidad pueden detectar su presencia con bastante facilidad. La finalidad de este malware parece ser que es descargar otros archivos maliciosos y realizar su instalación en el equipo. Para buscar su primera detección hay que retroceder hasta el mes de junio, afectando desde entonces a muy pocos equipos.
Fuente: Dynamoo´s blog