Si había alguna duda de que el era el mejor
medio para distribuir malware en este mes estamos saliendo de dudas. El aumento
de amenazas que utilizan servicios de correo electrónico continúa imparable y cada día aparecen
nuevas. En este caso, junto
con el cuerpo del correo adjuntan un supuesto documento PDF que en realidad
sirve para instalar el malware Pony.
Tal y como ya hemos dicho, este virus ya ha pasado por
nuestra web con anterioridad, informando del robo de 220.000 dólares gracias a
la utilización de virus informático. Como ya sucedía en la anterior ocasión, el
programa malicioso es en realidad un keylogger cuya actividad principal es
almacenar las contraseñas de monederos de criptomonedas, como por ejemplo el
Bitcoin. Aunque la información de otros servicios también le es relevante (como
por ejemplo las contraseñas de servicios de correo o de entidades bancarias en
línea) la principal actividad es almacenar las contraseñas de estos monederos
virtuales para proceder al robo de estas.
El gancho es lo más importante en estos casos, sobre
todo para provocar que el usuario realice la descarga del archivo adjunto que
sirve como vía de entrada del malware. Aunque el número de herramientas de
seguridad que detectan la amenaza es mayor que cuando apareció por primera vez,
aún existe una gran mayoría que no son capaces de proceder a su detección y
eliminación, siendo la mayoría herramientas de seguridad gratuitas.
Un archivo PDF con doble extensión
para ocultar el instalador de Pony
- La astucia de los ciberdelincuentes sumada al desconocimiento del usuario provoca que este binomio sea clave a la hora de infectar un equipo. Al usuario se le hace creer que el archivo adjunto es un PDF que contiene información sobre una factura que no ha sido pagada de una compra que se ha realizado en una tienda de Internet. Aunque el archivo posee extensión PDF, en realidad la que prevalece es la .EXE que se encuentra al final. Cuando el archivo es descargado y ejecutado se produce una copia del parte del código del programa malicioso en un proceso legítimo del sistema operativo, evitando de esta forma que la actividad sospechosa sea detectada por la suite de seguridad que se encuentre instalada.
- De esta forma el keylogger puede funcionar tranquilamente y enviar mensajes a un servidor remoto con las contraseñas que han sido robadas. Sobre todo loa países nórdicos de Europa son los que están sufriendo este ataque.
