5 de marzo de 2014

DIAN de Colombia como gancho de los cibercriminales colombianos

Los criminales cibernéticos colombianos lanzan un nuevo ataque abusando del nombre de DIAN. Pues el 2 de marzo han enviado correos masivos con un supuesto “certificado y calificación tributaria” que realmente es un programa de código malicioso

Introducción

Los criminales cibernéticos colombianos lanzan un nuevo ataque abusando del nombre de DIAN. Pues el 2 de marzo han enviado correos masivos con un supuesto “certificado y calificación tributaria” que realmente es un programa de código malicioso: 

DianColombia_0.preview

Dentro de la ingeniería social que usan los criminales, piden que la víctima reenvíe el mensaje a todos sus contactos. Es decir, están altamente interesados en infectar la mayor cantidad de usuarios.

Detalles técnicos del malware adjunto

El md5 del archivo es c7da3dc1e0157cc8f71b2d0b6f49aab9 y actualmente es detectado por 27 de 50 antivirus disponibles en VirusTotal. Kaspersky Anti-Virus lo detecta como Trojan-Dropper.Win32.Dinwod.aqc

El nombre del archivo una vez descomprimido es “Certificado y Calificacion Tributaria descargaDian-guiaDiligeciamientoVirtual-290509  pdf    .exe”.

El binario original está ofuscado y después de su ofuscación permite ver claramente que fue compilado utilizando el RAT del CyberGrate. Además se puede ver que el Centro de comando y control es este:

C2Dianpreview 

El 10017 es el puerto que usa el servidor remoto del C2 para las conexiones con las máquinas infectadas. En este momento este dominio dinámico resuelve a la dirección IP 181.136.52.27 que pertenece al pool de las direcciones dinámicas de unos de los ISP de Colombia:

hfc-181-136-52-27.une.net.co (181.136.52.27)

El malware maneja técnicas de detección de las máquinas virtuales para impedir su análisis en estos ambientes. Pues, verifica el tipo del disco duro, su tamaño, el BIOS y el procesador.

También una vez que la máquina de la víctima es infectada, el malware busca en el sistema los antivirus instalados y luego utilizando el anti-rootkit Avenger los trata de eliminar, dejando la PC completamente desprotegida:

DianAvengerpreview 

El objetivo de este malware es robar los datos confidenciales de la víctima: las contraseñas, los nombres de usuarios y otros datos. Pues este funciona como un espía completo monitoreando todo lo que la víctima escriba en su teclado y también monitorea el portapapeles para los textos copiados a memoria.

El mapa de infecciones confirma que la mayoría de las víctimas reside en Colombia:

 Dianinfeccionespreview

Conclusiones

Nuestro análisis indica que al parecer detrás de este ataque están los mismos criminales que en diciembre del 2013 ya lanzaron un ataque parecido. El centro de comando y control se encuentra en el mismo proveedor y la técnica de infectar y el paquete de construir el malware son los mismos. Parece que este criminal o criminales que estén detrás prefieren especializarse en las víctimas de Colombia.

Si nota que su anti-virus esté deshabilitado, es probable que su máquina haya sido infectada entonces. Lo puede confirmar si en su disco duro se encuentra el siguiente archivo: "C:\WINDOWS\InstallDir\Server.exe"

Por favor, actualice su anti-virus y revise toda la máquina. Si por algún motivo no es posible realizarlo, entonces puede usar la herramienta gratuita de desinfección de Kaspersky que se llama AVPTool (Kaspersky Virus Removal Tool) y que está disponible aquí.

Sígueme en twitter: @dimitribest

Artículo relacionado Blog de Kaspersky

  • Malicioso

    La batalla contra el cibercrimen requiere de una combinación de conocimiento, entusiasmo, y cooperación. En Kaspersky Lab, contamos con expertos que disfrutan de investigar nuevos vectores de ataque y de implementar métodos de protección innovadores para nuestros usuarios.

    LEER MÁS >
  • DIAN de Colombia como gancho de los cibercriminales colombianos

    Los criminales cibernéticos colombianos lanzan un nuevo ataque abusando del nombre de DIAN. Pues el 2 de marzo han enviado correos masivos con un supuesto “certificado y calificación tributaria” que realmente es un programa de código malicioso

    LEER MÁS >
  • Del phishing al acceso persistente

    Hace aproximadamente un año, se reveló un nuevo método de ataque conocido como “Covert redirection” (Ver: Keep calm y mantente alerto: OpenID y OAuth son vulnerables ) el cual permite abusar de los servicios de autenticación y autorización centralizada y abierta de los protocolos OpenID/OAuth, soportada por algunos de los principales proveedores de servicios de internet como Google, Outlook y LinkedIn.

    LEER MÁS >