sábado, 5 de enero de 2013

UPS Malware

El tema del correo sigue siendo una vía de infección. Los ciber criminales se encargan de mandar correos simulando ser una empresa, o un servicio de cualquier tipo para que al final abras un enlace de un servidor donde te descargues un malware. Este malware puede actuar de dropper o bien ser la pieza de malware en si misma.
Uno de los casos que recibí antes de navidades era de UPS
 
 
Es raro, porque yo no esperaba ningún paquete de UPS.. un poco raro ¿No?
En la imagen había un link que te llevaba a un HTML, como ya conozco las cosas que pasan, me descargué el HTML aparte primero.
darkmac:Downloads marc$ more BEMDDFHOHH.html
< html>
< body>
< script language=”JavaScript”>
< !–
window.location=”Shipping_Label_USPS.zip”;
//–>
< /script>
< /body>
< /html>
Parece que el HTML hace que te descargues un archivo ZIP, me lo descargo igualmente.
Antes de abrir el ZIp, miro las cabeceras del correo.
 
Vaya… parece que los japoneses están involucrados…
Si descomprimimos el ZIP hay un icono de PDF. Aunque está claro que es un exe lo que hay dentro del ZIP y que simula ser un PDF.
darkmac:Downloads marc$ file Shipping_Label_USPS.exe
Shipping_Label_USPS.exe: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
El usar ingeniería social para cambiar los iconos también es un práctica habitual.
Mas...

Fuente: ww.flu-project.com