Alerta de Seguridad Informática por propagación del troyano Win32.Andrómeda. Atacando a Cuba
Como parte de las acciones de la OSRI para proteger las redes cubanas, tenemos a bien ponerles al tanto que desde el 1ero de noviembre de 2014, se viene detectando el envío masivo de correos a cuentas nacionales con adjuntos que contienen el troyanoWin32.Andrómeda. Este programa maligno se encuentra asociado a la Amenaza Persistente Avanzada (APT por sus siglas en inglés) Anunak que afecta a instituciones financieras y de otro tipo en varias partes del mundo.
Una APT es un ataque llevado a cabo por delincuentes informáticos, con el objetivo de robar datos e informaciones para su beneficio económico, obteniendo registros de clientes, planos, guías de diseños de productos, códigos fuentes e información confidencial, entre otras. Estos ataques son dirigidos, persistentes, evasivos y complejos, realizándose en varias etapas y durante períodos prolongados hasta alcanzar sus objetivos. En la etapa inicial de dichos ataques se recopila información de todo tipo usando, entre otros, los sitios web personales y de la organización objetivo, redes sociales y técnicas de Ingeniería Social.
Estos envíos de correos se han caracterizado hasta el momento por contener ficheros adjuntos, tales como:
-
iphone_photo.zip
-
my_photo.zip
-
my_iphone_photo.zip
-
my_photo_sexy.zip
-
my_sexy_photo.zip
-
my_photo_sexyy.zip
Los dominios e IP más utilizadas para el envío de estos correos hacia nuestro país han sido:
-
marketmindful2.com desde la IP 205.237.91.186
-
cybercomthursday.com desde la IP 193.86.21.186
-
windfuldelivery2.com desde la IP 205.237.91.186
Teniendo en cuenta lo antes expuesto usted debe de MANERA INMEDIATA, bloquear dichos dominios e IPs para evitar la entrada y salida de correos desde y hacia los mismos. Por otra parte, en el mediano plazo debe realizar acciones de educación de usuarios de las Tecnologías de las Información y las Comunicaciones en su organización, para evitar que abran correos de procedencia dudosa y adjuntos .zip con los nombres mencionados con anterioridad.
Quisiéramos comentarles que el Artículo 4 de la Resolución 127/07del Ministro de la Informática y las Comunicaciones, el que pone en vigor el Reglamento de Seguridad para las Tecnologías de la Información señala.
ARTÍCULO 4: Cada entidad que haga uso para el desempeño de su actividad de las tecnologías de la información está en la obligación de diseñar, implantar y mantener actualizado, un Sistema de Seguridad Informática a partir de la importancia de los bienes a proteger y de los riesgos a que están sometidos, con el fin de alcanzar los siguientes objetivos:
-
Minimizar los riesgos sobre los sistemas informáticos.
-
Garantizar la continuidad de los procesos informáticos.
Es de nuestro interés que usted nos informe sobre el cumplimiento de lo indicado en esta Alerta de Seguridad no más tarde del 27 de febrero del año en curso, a través de la dirección electrónicareporte@osri.gob.cu.
Equipo de Respuesta a Incidentes Computacionales de Cuba
OSRI
Datos Adicionales:
Nombre: msacqfbzx.exe Trojan-Downloader.Win32.Andromeda.qqy
Este tipo de infección se propaga a través de medios extraíbles, como memorias USB, tarjetas SD, móviles, GPS, tabletas ..
Cualquier dispositivo USB que contiene un espacio de disco puede ser contaminado.
Propagación
En (1) el USB esta conectado en un PC infectado, donde la infección está activa.
Este creará automáticamente una copia de su código malicioso (2) en el USB.
Una vez que el USB está contaminado, sirve como un medio de transporte a la infección para infectar un equipo en buen estado (3).
Fichero: msacqfbzx.exe
-
Detección : Trojan-Downloader.Win32.Andromeda.qqy
-
Analizado con VirusTotal el : 2015-02-11 08:29:05
-
Peso : 63488 bytes.
-
Typo : application/x-dosexec
-
MD5: 6ed5234b74ca5a4df72eccbab07cdaa3
Detección antivirus
Detección antivirus
- AhnLab-V3 : Spyware/Win32.Zbot
- Antiy-AVL : Trojan[Ransom]/Win32.PornoAsset
- Avast : Win32:Fareit-CW [Trj]
- AVG : SHeur4.AYWI
- BitDefender : Gen:Variant.Kazy.138381
- ClamAV : Win.Trojan.Agent-146885
- Comodo : TrojWare.Win32.Kryptik.AWHV
- DrWeb : BackDoor.Andromeda.22
- Emsisoft : Gen:Variant.Kazy.138381 (B)
- ESET-NOD32 : Win32/TrojanDownloader.Wauchos.A
- Fortinet : W32/Zbot.ANQ!tr
- F-Prot : W32/Agent.RP.gen!Eldorado
- F-Secure : Gen:Variant.Kazy.138381
- GData : Gen:Variant.Kazy.138381
- Ikarus : Trojan-PWS.Win32.Fareit
- Jiangmin : Trojan/PornoAsset.svs
- K7AntiVirus : EmailWorm ( 003247681 )
- Kaspersky : Trojan-Downloader.Win32.Andromeda.qqy
- Kingsoft : Win32.Troj.Undef.(kcloud)
- Malwarebytes Anti-Malware : Trojan.Agent.CV
- McAfee : PWS-Zbot.gen.ary
- McAfee-GW-Edition : BehavesLike.Win32.Virut.kc
- Microsoft : Worm:Win32/Gamarue.I
- MicroWorld-eScan : Gen:Variant.Kazy.138381
-
NANO-Antivirus : Trojan.Win32.Andromeda.bfqcin
- Norman : Kryptik.KYN
- nProtect : Trojan/W32.PornoAsset.63488.F
- Panda : Trj/Genetic.ge
-
CAT-QuickHeal : Worm.Gamarue.B
-
Rising : PE:Worm.Gamarue!6.590
-
Sophos : Mal/ZboCheMan-D
-
Norton : Packed.Generic.398
-
TheHacker : Trojan/Downloader.Wauchos.a
-
TrendMicro : TROJ_KREPTK.SM08
-
TrendMicro-HouseCall : TROJ_KREPTK.SM08
-
VIPRE : Virtool.Win32.Obfuscator.acp (v)
-
VBA32 : SScope.Backdoor.IRCBot.3013
-
Bkav : W32.FareitWauchos.Trojan
***************************************************
==============================================
ALERTA DE CIRCULACIÓN POR LA RED NACIONAL DEL PROGRAMA MALIGNO WIN32.ONION
Circula por la Red Nacional el programa maligno Win32.Onion.
La empresa Segurmática alerta sobre la circulación por la Red Nacional de Win32.Onion (alias Trojan-Ransom.Win32.Onion), nueva versión del programa maligno internacional conocido como CBT-Locker. Ya se han reportado infecciones en el país.
Este troyano es del tipo “ransomware”, que encripta ficheros en la PC infestada y en los recursos compartidos donde se tenga acceso de escritura y pide un rescate al usuario afectado para desencriptar dichos ficheros.
La vía de infección primaria es a través de mensajes de correos spam con un adjunto que dice ser un fax o un formulario con extensión .scr Los adjuntos pueden tener como nombre palabras de diccionario aleatorias y para evitar los filtros de los servidores de mensajería utilizan un archivo compactado zip dentro de otro con un fichero .scr dentro.
En el momento de la infección el programa escanea la computadora en busca de ficheros de datos y los encripta con una clave, haciéndolos inaccesibles para el usuario. Entre los ficheros encriptados están los de office, bases de datos, imágenes, certificados digitales, ficheros comprimidos, etc.
La siguiente imagen muestra la pantalla de aviso de infeccion del CTB-Locker.
Recomendaciones para evitar la infección:
- Evitar abrir ficheros adjuntos a mensajes recibidos por correo electrónico sin previo aviso, de procedencia dudosa o de remitentes desconocidos.
- Habilitar las funcionalidades de filtrado de extensiones posiblemente maliciosas en los filtros de seguridad de los servidores de correos. Ejemplo bloquear archivos con extensiones scr, exe, com, pif, entre otras de ficheros ejecutables.
- Realizar frecuentemente copias de seguridad de los datos.
- No compartir archivos con permiso de escritura de manera permanente.
- Mantener actualizadas las soluciones antivirus.
Segurmática Antivirus detecta de manera genérica las últimas variantes de este programa maligno. Sin embargo, por la naturaleza polimórfica y la constante evolución de este malware que le permite cambiar para cada infección, se recomienda mantener una estricta vigilancia sobre el mismo, estar atento a nuevas alertas y reforzar las medidas de seguridad anteriormente recomendadas.
En caso de infectarse con el virus, recomendamos comunicarse y buscar asesoramiento en la empresa Segurmática.
Deja una respuesta