Evernote “File has been sent”, un nuevo correo spam que contiene un virus

Escrito por Adrián Crespo
Seguridad
0

Cualquier programa es bueno para utilizarlo como imagen de un correo spam, y más si se trata de uno tan popular como lo es Evernote. Se ha detectado una oleada de correos spam que informan al usuario de la presencia de un archivo nuevo en dicho programa e invitan a visualizarlo gracias a que este se encuentra adjunto en el correo, haciendo creer al usuario que se trata de una imagen.

Como suele ser habitual en estos casos, se indica al usuario que acuda a una dirección web concreta para visualizar el contenido o se adjunta un archivo adjunto relacionado con la temática del correo para así conseguir adjuntar un virus y que infecte el equipo del usuario.

Hay que fijarse en primer lugar que el correo no está mandado desde una dirección del equipo de Evernote, siendo la dirección de este correo lcresknpwz@business.telecomitalia.it. Partiendo de esto, en el cuerpo del mensaje no se detalla demasiado, solo se hace mención a la inclusión de un nuevo documento en el servicio y que si se quiere realizar la visualización este se encuentra adjuntado.

Con respecto al archivo que se encuentra adjunto hay que decir que en un principio se puede llegar a pensar que es una imagen, ya que el nombre del archivo comprimido es DSC_9426679.zip. Sin embargo, si realizamos la extracción del archivo veremos que en su interior parece que hay un archivo de imagen, pero esto no es así, ya que en realidad se trata de un ejecutable.

W32/Trojan.PSDJ-4224 es el virus que contiene el correo

El virus puede que no nos resulte familiar a simple vista, pero si observamos las direcciones a las que intenta conectarse se puede ver como son las mismas que en el caso del correo spam de Amazon de esta misma semana. Estas direcciones son las siguientes:

  • www.zag.com.ua/333
  • daisyblue.ru/333
  • www.ricebox.biz/333
  • brandsalted.com/333
  • fbcashmethod.ru/333
  • expositoresrollup.es/333
  • madrasahhusainiyahkl.com/333
  • sexyfoxy.ts6.ru/333
  • www.huework.com/333
  • siliconharbourng.com/333
  • www.martijnvanhout.nl/333

En un primer momento el virus desactiva algunas características de Windows para que no sea posible eliminarlo, como el Administrador de tareas del sistema o el acceso al Panel de Control, algo que nos podría valer para realizar su desinstalación. Una vez que ha completado este proceso el malware realiza una conexión a alguna de las direcciones indicadas con anterioridad para descargar software adicional que llenará el equipo de barras de herramientas de navegadores y de programas que llenan el equipo de publicidad.

Fuente | Dynamoo´s blog