• Tweet

El equipo de seguridad Red Condor advirtió hoy de una nueva amenaza de malware sofisticado de correo electrónico que se hace pasar como un mensaje personal dirigido incorrectamente y con archivos ejecutables.

Los mensajes de spam, los cuales tienen una variedad de líneas de asunto, entre las que se encuentran: “¡Estas invitado a otro show!”, “FW: Reanudar como discutido” y “FW: Autos y préstamo de autos”, parecen componerse de contenido que probablemente fue robado de cuentas de correo electrónico y computadoras comprometidas, aparentemente tienen múltiples conexiones con la campaña de código malicioso one-click y plug-and-play (PNP) que Red Condor ha estado monitoreando desde hace meses.

Red Condor también identificó una posible fuente de spam en cuentas comprometidas del sitio de redes sociales Multiply.com. Los ejecutables en esta nueva campaña han sido identificados como TR/Dropper.Gen / FraudTool.Win32.AVSoft (v) / Malware-Cryptor.Win32.Limpopo. Al momento de su detección, esta campaña sólo fue bloqueada por 4 de los 41 antivirus que habían detectado el malware.

Entre los puntos en común de esta nueva avalancha de spam y la campaña de malware one-click se encuentran los siguientes:

Ambos están siendo utilizados para distribuir familias de malware similar (Bredolab para los ejecutables adjuntos y Zeus para los drive-by), asociándose a aplicaciones Fake AV en algún punto del ciclo de infección. Sin embargo, debido a que éstos son troyanos, una vez creado un punto de apoyo, cualquier coctel de malware puede ser descargado e instalado, afectando al sistema de la víctima.

Ambos emplean nuevas familias de malware, en su mayoría indetectables para motores AV.

Ambos parecen ser principalmente diseñados para comprometer computadoras en lugar de anunciar bienes y servicios.

Ambos emplean nuevas técnicas de ingeniería social tales como suplantación de marcas (para PNP) o “comunicaciones personales mal dirigidas” para atraer a los receptores a abrirlos.

El vínculo más fuerte es la co-ocurrencia de cargas explosivas apareciendo en un conjunto limitado de cuentas del sitio gratuito de alojamiento de blogs, Multiply.com.