Analistas de Kaspersky Lab han descubierto un nuevo ataque por cibercriminales colombianos que aprovecha el nombre de la DIAN (Dirección de Impuestos y Aduanas Nacionales) con un supuesto asunto de “certificado y calificación tributaria” que realmente es un programa de código malicioso.
El nombre del archivo una vez descomprimido es “Certificado y Calificación Tributaria descargaDian-guiaDiligeciamientoVirtual-290509 pdf.exe” y actualmente es detectado por 27 de 50 soluciones de antivirus disponibles en Virus Total.
El malware maneja técnicas de detección de las máquinas virtuales para impedir su análisis en estos ambientes. Pues, verifica el tipo del disco duro, su tamaño, el BIOS y el procesador. También una vez que la máquina de la víctima es infectada, el malware busca en el sistema los antivirus instalados y luego, utilizando el anti-rootkit Avenger, los trata de eliminar dejando la PC completamente desprotegida.
El objetivo de este malware es robar los datos confidenciales de la víctima: las contraseñas, los nombres de usuarios y otros datos. Pues este funciona como un espía completo monitoreando todo lo que la víctima escriba en su teclado y también monitorea el portapapeles para los textos copiados a memoria.
Dentro de la ingeniería social que usan los cibercriminales, piden que la víctima reenvíe el mensaje a todos sus contactos. Es decir, están altamente interesados en infectar la mayor cantidad de usuarios.
“Nuestro análisis indica que los mismos criminales que en diciembre del 2013 lanzaron un ataque parecido, son los responsables de este nuevo ataque. El centro de comando y control se encuentra en el mismo proveedor y la técnica de infección y el paquete para construir el malware son los mismos. Parece que este criminal o criminales que están detrás de este ataque prefieren especializarse en las víctimas de Colombia”, comentó Dmitry Bestuzhev, director, Grupo de Investigación y Análisis, Kaspersky Lab América Latina.
Bestuzhev también informa que si nota que su anti-virus ha sido deshabilitado, es probable que su máquina haya sido infectada. Esto lo puede confirmar si en su disco duro se encuentra el siguiente archivo: «C:\WINDOWS\InstallDir\Server.exe»
Kaspersky Lab recomienda a todos los usuarios a que actualicen su solución de anti-virus y revisen toda su máquina.
Para mayor información visite: http://latam.kaspersky.com/
