“Order status -950533 30.07.2014.xls”, un Excel que en realidad es un .exe

Escrito por Adrián Crespo
Seguridad
0

Tanto en el día de ayer como hoy hemos hablado de correos spam que se envían a los usuarios. Nuevamente los expertos en seguridad se han hecho eco de una nueva amenaza que se esta distribuyendo en un correo electrónico, haciendo creer al usuario que este contiene un fichero de Excel cuando en realidad es archivo ejecutable que contiene un virus.

Tal y como es habitual en estos casos se debe llamar la atención de los usuarios de alguna forma, y en esta ocasión han escogido la realización de una compra con una supuesta tarjeta de crédito propiedad del usuario. En ningún momento se menciona la número de la tarjeta, únicamente se indica que se ha realizado una compra y que en el archivo adjunto se pueden ver más detalles sobre esta operación. El cuerpo del correo electrónico no muestra más información ni es mucho más elaborado, algo que sería un indicativo de la falta de veracidad que tiene.

El archivo es un ejecutable que instala un virus

El usuario que realice la descarga se encontrará con una carpeta comprimida con el nombre de 950533-30.07.2014.zip que contiene a su vez el supuesto .xls. La ejecución de este archivo supone la instalación de un malware que se encarga de monitorizar la actividad del teclado del equipo del usuario. Aunque parezca algo obvio, sobre todo porque es un .exe, el malware solo ha sido desarrollado para afectar a equipos Windows y no se ha encontrado aún su versión para otros sistemas operativos.

Spyware.Password, que así es como se denomina por muchos de los antivirus y herramientas de seguridad existentes, realiza una primera tentativa de conexiones a las siguientes direcciones:

  • jobengine.in/333
  • legusadvantage.com/333
  • davidtaylorartist.com/333
  • asustabletservisi.com/333
  • mycustomkidsbooks.com/333
  • redhorsesolutions.com/333
  • tencoolthings.com/333
  • wwwtokiodesign.com/333
  • extreme-bdsm-comics.com/333

Esto propicia la llegada de un malware adicional conocido con el nombre de Downloader-FAGM!A38ABF1A8592 que a su vez intenta conectarse a otras direcciones. Este se encarga de descargar barras de herramientas de navegadores para tratar de espiar la navegación del usuario e instalar programas que hacen llegar publicidad al equipo y que degradan el rendimiento de este.

El bloqueo de estas direcciones supondría evitar que la infección prolifere y se complete, teniendo solo que eliminar el keylogger que ha llegado al sistema.

Fuente | Dynamoo´s blog


Noticias relacionadas