KASPERSKY LAB: LA DIAN SIGUE SIENDO OBJETO DE LOS CIBERCRIMINALES EN COLOMBIA
Analistas de Kaspersky
Lab han descubierto un nuevo ataque por cibercriminales
colombianos que aprovecha el nombre de la DIAN (Dirección de
Impuestos y Aduanas Nacionales) con un supuesto asunto de “certificado y
calificación tributaria” que realmente es un programa de código malicioso.
El nombre del
archivo una vez descomprimido es “Certificado y Calificacion Tributaria
descargaDian-guiaDiligeciamientoVirtual-290509 pdf .exe”
y actualmente es detectado por 27
de 50 soluciones de
antivirus disponibles en VirusTotal. Kaspersky Anti-Virus lo detecta como Trojan-Dropper.Win32.Dinwod.aqc
El malware
maneja técnicas de detección de las máquinas virtuales para impedir su análisis
en estos ambientes. Pues, verifica el tipo del disco duro, su tamaño, el BIOS y
el procesador. También una vez que la máquina de la víctima es infectada, el
malware busca en el sistema los antivirus instalados y luego, utilizando el
anti-rootkit Avenger, los trata de eliminar dejando la PC completamente
desprotegida:
El objetivo
de este malware es robar los datos confidenciales de la víctima: las
contraseñas, los nombres de usuarios y otros datos. Pues este funciona como un
espía completo monitoreando todo lo que la víctima escriba en su teclado y
también monitorea el portapapeles para los textos copiados a memoria.
Dentro de la
ingeniería social que usan los cibercriminales, piden que la víctima reenvíe el
mensaje a todos sus contactos. Es decir, están altamente interesados en
infectar la mayor cantidad de usuarios.
El mapa de
infecciones confirma que la mayoría de las víctimas reside en Colombia:
“Nuestro
análisis indica que los mismos criminales que en diciembre del 2013 lanzaron un ataque parecido, son los responsables de este nuevo ataque. El centro de comando y control se encuentra en el
mismo proveedor y la técnica de infección y el paquete para construir el
malware son los mismos. Parece que este criminal o criminales que están detrás
de este ataque prefieren especializarse en las víctimas de Colombia”, comentó
Dmitry Bestuzhev, director, Grupo de Investigación y Análisis, Kaspersky Lab
América Latina.
Bestuzhev
también informa que si nota que su anti-virus ha sido deshabilitado, es
probable que su máquina haya sido infectada. Esto lo puede confirmar si en su
disco duro se encuentra el siguiente archivo: "C:\WINDOWS\InstallDir\Server.exe"
Kaspersky Lab
recomienda a todos los usuarios a que actualicen su solución de anti-virus y
revisen toda su máquina. Si por algún motivo no es posible realizar un escaneo
de su PC, pueden utilizar la herramienta gratuita de desinfección de Kaspersky
Virus Removal Tool disponible
aquí.
Información
adicional acerca de este ataque está disponible en el blog de Kaspersky
Lab América Latina aquí:
No hay comentarios:
Publicar un comentario