En la imagen podemos ver el enlace desde el cual se obtiene la descarga este formulario tan dañino, el cual apunta a un sitio web de Eslovaquia. Con esto, el usuario ya tiene información de sobra para saber que algo extraño ocurre, y que no debería seguir con el proceso de descarga.
Figura 1: Correo electrónico malicioso
¿Y si el usuario decide descargar el formulario? Si el usuario continua con el proceso lo que obtiene es el ejecutable comentado anteriormente. Por el contenido de correo electrónico uno se da cuenta de que el objetivo es el usuario chileno, aunque se han detectado casos en otros países como México, Perú, Argentina, Ecuador y Colombia, ya que han tenido mayores niveles de detección de esta misma variante de malware.
Hemos visto el análisis dinámico que han llevado a cabo de la amenaza y ésta genera información de un comportamiento interesante por parte del malware. El binario que se descarga y se ejecuta es inferior a 1 MB. Cuando se realiza su ejecución parece no ocurrir nada, pero analizando los procesos de memoria se puede visualizar como se crea un archivo en una carpeta del sistema, y una vez que se termina su escritura se cierra el proceso inicial, ejecutando el archivo recién creado.
Figura 2: Process Monitor analizando los ficheros y su actividad
Otra de las acciones que se identificaron es que estos binarios pueden hacer que un atacante descargue archivos al dispositivo de la víctima desde otro equipo o ubicación. Seguiremos atentos a la campaña y a las posibles variantes que surjan de este tipo de ataques.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...