Un correo spam del Banco de América contiene una copia de Cryptowall

Escrito por Adrián Crespo
Seguridad
0

Los temas relacionados con la banca son muy utilizados por los ciberdelincuentes para distribuir correos spam entre los usuarios. Una prueba de ello es la nueva oleada que ha sido detectada utilizando la imagen del Banco de América para influir negativamente entre los usuarios. Los archivos adjuntos no son documentación tal y como se indica en el cuerpo sino una copia de un troyano.

En el día de ayer ya hablamos de los problemas con las cuentas de correo de Intuit que estaban siendo utilizadas para enviar correos con una copia del troyano Crptowall, en esta ocasión el troyano que se utiliza es el mismo pero con la única salvedad de que este es adjuntado varias veces con la finalidad de hacer creer que existen varios documentos que poseen información en el archivo comprimido.

La cuenta de correo desde donde se envía los spam es muy similar a la del Banco de América, pero no es igual y a simple vista puede parecer la misma. En el cuerpo del mensaje solo se indica que se recuerda al usuario que debe mirar de forma detenida la información adjuntada en el correo sobre el contrato de las cuentas que se han abierto. Además se añade que toda la información contenida en este correo es confidencial y que bajo ningún concepto se va a distribuir o compartir con otras personas o entidades.

Un zip con copias del virus en vez de documentación

Después de la primera parte llega la segunda en la que el usuario descarga el archivo comprimido. En esta ocasión, el usuario se encuentra con un archivo comprimido llamado AccountDocuments.zip. Una vez que este se ha descargado nos encontramos en el interior del mismo con los archivos que en un principio son la documentación pero que en realidad son copias de Cryptowall:

  • AccountDocuments1.scr
  • AccountDocuments2.scr
  • AccountDocuments3.scr
  • AccountDocumentsBank.scr

Se tratan de 4 copias del mismo virus haciendo todas lo mismo: cifrar los archivos del equipo y pedir una cantidad de dinero para poder tener acceso de nuevo a los archivos que han sido cifrados.

La variante además trata de establecer comunicación con las siguientes direcciones:

  • 94.23.247.202/0408cnet28/SANDBOXB/0/51-SP2/0/
  • 94.23.247.202/0408cnet28/SANDBOXB/1/0/0/
  • dirbeen.com/khalid53/cnet28.zip
  • ibuildchoppers.com/wp-content/gallery/choppers/cnet28.zip

Según se ha podido saber busca con esta comunicación instalar malware adicional para poder complicar aún más la utilización del equipo, algo que se puede evitar bloqueando estas direcciones en el firewall que tengamos instalado en el mismo.

Fuente | Dynamoo´s blog