Waledac se reactiva
Tal como anunciamos el día jueves, alertando a los usuarios ante la inminente reactivación de Waledac para recrutar nuevos equipos infectados su red botnet, desde hace unas horas se comenzó a observar actividad como la prevista.
Al igual que el resto de las campañas de Waledac, que también hemos reportado desde el blog, todo se basa en el envío de correos electrónicos no solicitados, con textos breves y enlaces a sitios maliciosos. En la siguiente imagen podemos observar la captura de tráfico de un equipo infectado con las versiones anteriores de Waledac, utilizado para enviar masivamente correos no deseados con la nueva campaña.
Nótese en esta imagen, las variables del correo electrónico: destinatario, remitente, asunto del mensaje (”Celebrando el 4 de Julio“), el texto del mismo (”¡Feliz cumpleaños América!“) y el enlace a un dominio malicioso. Aquí pueden observar un correo similar ya recibido en una cuenta de correo de Gmail.
El sitio web fue diseñado con un supuesto video de YouTube que presenta la filmación sobre los fuegos artificiales que fueron lanzados el día sábado en Estados Unidos (hoy viernes ya tienen la filmación de mañana). Incluso el texto indica, para incitar a los usuarios ver el video, que fue invertida una "suma de dinero sin precedentes en este show, incluso a pesar de la crisis".
Algunos de los dominios que ya hemos detectado como maliciosos son:
Como anunciamos anteriormente, el troyano utilizado en esta oportunidad es detectado proactivamente por ESET NOD32 como Win32/Waledac.JT.
Aunque el mensaje será distribuido por la independencia de Estados Unidos, los correos electrónicos están llegando a todas partes del mundo, y utilizando como técnica de Ingeniería Social algo que atraerá a todos los usuarios (no importa tu país, los fuegos artificiales atraen), los usuarios de todos los países son potenciales víctimas.
Sigan alertas, ya que estos correos seguirán circulando al menos dos semanas, teniendo en cuenta la duración de las campañas anteriores.
Fuente: ESET Latinoamérica
Al igual que el resto de las campañas de Waledac, que también hemos reportado desde el blog, todo se basa en el envío de correos electrónicos no solicitados, con textos breves y enlaces a sitios maliciosos. En la siguiente imagen podemos observar la captura de tráfico de un equipo infectado con las versiones anteriores de Waledac, utilizado para enviar masivamente correos no deseados con la nueva campaña.
Nótese en esta imagen, las variables del correo electrónico: destinatario, remitente, asunto del mensaje (”Celebrando el 4 de Julio“), el texto del mismo (”¡Feliz cumpleaños América!“) y el enlace a un dominio malicioso. Aquí pueden observar un correo similar ya recibido en una cuenta de correo de Gmail.
El sitio web fue diseñado con un supuesto video de YouTube que presenta la filmación sobre los fuegos artificiales que fueron lanzados el día sábado en Estados Unidos (hoy viernes ya tienen la filmación de mañana). Incluso el texto indica, para incitar a los usuarios ver el video, que fue invertida una "suma de dinero sin precedentes en este show, incluso a pesar de la crisis".
Algunos de los dominios que ya hemos detectado como maliciosos son:
- [ELIMINADO]eeindependence.com
- [ELIMINADO]ppyindependence.com
- [ELIMINADO]eractiveindependence.com
- [ELIMINADO]ieindependence.com
- [ELIMINADO]iesindependence.com
- [ELIMINADO]doorindependence.com
- [ELIMINADO]deoindependence.com
- [ELIMINADO]ie4thjuly.com
- [ELIMINADO]ies4thjuly.com
- [ELIMINADO]eo4thjuly.com
- [ELIMINADO]iefireworks.com
- [ELIMINADO]iesfireworks.com
- [ELIMINADO]eworkspoint.com
- [ELIMINADO]eworksnetwork.com
- [ELIMINADO]firework.com
- [ELIMINADO]reholiday.com
- [ELIMINADO]reworksholiday.com
- [ELIMINADO]lifireworks.com
- fireworks.exe
- install.exe
- movie.exe
- patch.exe
- setup.exe
- video.exe
Como anunciamos anteriormente, el troyano utilizado en esta oportunidad es detectado proactivamente por ESET NOD32 como Win32/Waledac.JT.
Aunque el mensaje será distribuido por la independencia de Estados Unidos, los correos electrónicos están llegando a todas partes del mundo, y utilizando como técnica de Ingeniería Social algo que atraerá a todos los usuarios (no importa tu país, los fuegos artificiales atraen), los usuarios de todos los países son potenciales víctimas.
Sigan alertas, ya que estos correos seguirán circulando al menos dos semanas, teniendo en cuenta la duración de las campañas anteriores.
Fuente: ESET Latinoamérica
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!