Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Spammers reviven campaña del descargador Hancitor
Una reciente y sigilosa distribución de spam que propagaba malware para robar información a través del descargador Hancitor ha sido interrumpida.
Investigadores del SANS Internet Storm Center se encuentran rastreando actualmente un aumento de correos spam de notificaciones sobre un boleto de estacionamiento. El mensaje pide al destinatario hacer clic en un vínculo para pagar el ticket; el hipervínculo es un documento de Microsoft Word.
“El documento contiene una macro de Visual Basic maliciosa descrita como Hancitor, Chanitor o Tordal,” escribió Brad Duncan, responsable en el SANS Internet Storm Center en una entrada de blog advirtiendo de la campaña de spam. “Si usted habilita macros, el documento recupera el descargador (Pony DLL). El descargador Pony entonces recupera e instala el malware Vawtrak.”
No parece haber algo único cuando se trata de tácticas para obligar a los destinatarios para habilitar contenido en archivos Word y ejecutar macros maliciosas. Un análisis de la liga del correo electrónico de phishing contiene una cadena codificada en base 64 que contiene la dirección del destinatario. Usando esa cadena, los acatantes insertan el nombre del destinatario en el documento de Word.
“Utilicé una cadena en base 64 para bert@shotts123.com (una dirección inventada) y recibí un archivo llamado parking_bert.doc,” dijo Duncan.
Otros aspectos de la campaña son similares a oleadas pasadas relacionadas con Hancitor reportadas en 2016 por Palo Alto Networks y FireEye.
“En cuanto al patrón, las URL de esta infección son similares a casos anteriores de Hancitor/Pony/Vawtrak malspam reportados durante los dos o tres meses pasados," escribió Duncan.
En agosto, una variante de Hancitor identificada por Palo Alto Networks aprovechó la última encarnación de H1N1 y distribuyo los ejecutables de Pony y Vawtrak. En septiembre, FireEye reportó la forma en que se entregó el payload de Hancitor difiere de interaciones anteriores.
Mientras las campañas de Hancitor fluctúan en volumen, investigadores dicen que en general, los ataques spam basados en macros van en aumento. En un estudio liberado en octubre, Microsoft dijo que los incidentes de correos basados en macros aumentaron de manera mesurada. En el reporte Enterprise Microsoft dice que 98 por ciento aún utiliza ataques con marcos de la vieja escuela.
“Seguido nos agotamos cuando otra ola de spam hace lo mismo que en el pasado. Los patrones detrás de este tipo de actividades a menudo están bien documentados. Entonces, ¿por qué desgastarse con la discusión, si no hay nada nuevo que agregar-,” escribió Duncan. “Esta actitud solamente motiva a los grupos criminales detrás del spam”.
