Utilizan un PDF falso para distribuir el malware Pony

Escrito por Adrián Crespo
Seguridad
0

Si había alguna duda de que el correo era el mejor medio para distribuir malware en este mes estamos saliendo de dudas. El aumento de amenazas que utilizan este servicios continúa imparable y cada día aparecen nuevas y otras que sin embargo ya han pasado por RedesZone. En este caso, junto con el cuerpo del correo adjuntan un supuesto documento PDF que en realidad sirve para instalar el malware Pony.

Tal y como ya hemos dicho, este virus ya ha pasado por nuestra web con anterioridad, informando del robo de 220.000 dólares gracias a la utilización de virus informático. Como ya sucedía en la anterior ocasión, el programa malicioso es en realidad un keylogger cuya actividad principal es almacenar las contraseñas de monederos de criptomonedas, como por ejemplo el Bitcoin. Aunque la información de otros servicios también le es relevante (como por ejemplo las contraseñas de servicios de correo o de entidades bancarias en línea) la principal actividad es almacenar las contraseñas de estos monederos virtuales para proceder al robo de estas.

El gancho es lo más importante en estos casos, sobre todo para provocar que el usuario realice la descarga del archivo adjunto que sirve como vía de entrada del malware. Aunque el número de herramientas de seguridad que detectan la amenaza es mayor que cuando apareció por primera vez, aún existe una gran mayoría que no son capaces de proceder a su detección y eliminación, siendo la mayoría herramientas de seguridad gratuitas.

Un archivo PDF con doble extensión para ocultar el instalador de Pony

La astucia de los ciberdelincuentes sumada al desconocimiento del usuario provoca que este binomio sea clave a la hora de infectar un equipo. Al usuario se le hace creer que el archivo adjunto es un PDF que contiene información sobre una factura que no ha sido pagada de una compra que se ha realizado en una tienda de Internet. Aunque el archivo posee extensión PDF, en realidad la que prevalece es la .EXE que se encuentra al final. Cuando el archivo es descargado y ejecutado se produce una copia del parte del código del programa malicioso en un proceso legítimo del sistema operativo, evitando de esta forma que la actividad sospechosa sea detectada por la suite de seguridad que se encuentre instalada.

De esta forma el keylogger puede funcionar tranquilamente y enviar mensajes a un servidor remoto con las contraseñas que han sido robadas. Sobre todo loa países nórdicos de Europa son los que están sufriendo este ataque.

Fuente | Softpedia


Noticias relacionadas