DroidKungFu y los exploits RageAgainstTheCage y Exploid para Android

Resumen

La muestra analizada es de tipo troyano debido a que se hace pasar por una aplicación para jugar solitario mientras realiza otras actividades sin el consentimiento del usuario, como explotar vulnerabilidades e instalar aplicaciones adicionales o publicidad (adware). Este troyano pertenece a la familia de malware DroidKungFu, que se detectó en el 2011 y comenzó afectando aplicaciones en China. Las variantes de DroidKungFu tienen dos características importantes: utilizan exploits para escalar privilegios (conocidos como RageAgainstTheCage y Exploid) y estos están cifrados con AES. Sus acciones principales son: recolectar información del dispositivo para enviarla a servidores remotos, explotar una vulnerabilidad para escalar privilegios, instalar otras aplicaciones y recibir instrucciones de un C&C (aunque esta funcionalidad no pudo ser investigada debido a que los dominios fueron dados de baja).

 

Un vistazo a la situación de phishing y malware en México (Julio - Septiembre 2015)

 

Resumen

Durante este trimestre, las campañas de phishing más interesantes estuvieron relacionadas con Apple, específicamente iCloud, con LinkedIn y con los bancos brasileños. El sitio falso de iCloud destaca debido a que estuvo relacionado con el robo de un celular, es decir, este caso involucra el robo de un bien tangible y el intento de robo de sus datos. Por otro lado, Bancomer y Santander siguen siendo las instituciones bancarias más afectadas por phishing en México. También se observaron correos falsos, no vistos en los trimestres anteriores, de Banregio y Banco Afirme.

En cuanto a malware lo más común, y de hecho el único tipo de archivo adjunto que se recibió, fueron los documentos maliciosos de Word.

El troyano bancario Banload y sus técnicas para evadir software de seguridad

 

Resumen

De todas las muestras de troyanos bancarios recibidas durante las últimas semanas, son los scripts en Visual Basic (.vbs o .vbe) los que han llamado más nuestra atención. En este reporte analizamos un archivo de Visual Basic pero codificado con un programa legítimo de Windows para dificultar su análisis. La muestra analizada es la primera etapa de la infección y  se encarga de descargar y, en algunos casos, asegurar la persistencia de módulos adicionales o actualizaciones del troyano; además de programar la desinstalación del software de seguridad instalado en el equipo, como antivirus o plugins bancarios, y de crear reglas de firewall para bloquear el tráfico de red relacionado con esos ejecutables en caso de que la desinstalación falle.

Un vistazo a la situación de phishing y malware en México (Abril – Junio 2015)

 

Resumen

 

Como se mencionó en el primer reporte de estadísticas de phishing y malware, es importante mostrar los casos más comunes para alertar a los usuarios y disminuir el número de afectados.

Durante este trimestre, algunas de las campañas de phishing más interesantes estuvieron relacionadas con el SAT y con el envío de archivos .cab como adjuntos. También se observó un aumento en la cantidad de correos falsos de Banamex y la aparición de correos falsos de Banorte, Netflix, WhatsApp y CFE, que no se observaron durante la realización del primer reporte de estadísticas. Otra característica notable es que las campañas de phishing ahora han optado por incluir dos enlaces, uno para usuarios y otro para empresas, y cada uno redirige a sitios phishing distintos.

En cuanto a malware, lo más común siguen siendo los documentos maliciosos de Word.

Propagación de documentos PDF para descarga de malware

 

Resumen:

 

En entradas anteriores de este blog, se han publicado reportes sobre algunos documentos maliciosos en formato DOC, XLS y DOCX. En esta ocasión, se analizará la muestra "DHL_Report_86141642441.pdf" cuyo método de operación es la ingeniería social. Los atacantes utilizaron esta estrategia para infectar la mayor cantidad de equipos, en este caso usuarios de sistemas Windows. El archivo malicioso se propaga por correo electrónico de forma masiva, si algún usuario lo recibe en su bandeja de entrada y lo visualiza, se mostrará un documento adjunto en formato PDF que deberá descargar y abrir, éste contiene una supuesta notificación de envío del servicio DHL, finalmente, debe dar clic en un enlace contenido en el cuerpo para descargar software malicioso y así completar la infección. A continuación se muestra el reporte: