Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon La botnet Andromeda infecta con malware financiero ataca a usuarios Italianos y Alemanes




Los bots de Andromeda / Gamarue se utilizan rutinariamente como puertas traseras a los sistemas infectados y también pueden ser vectores para la descarga de diferentes cargas útiles maliciosas. Durante las últimas semanas se han observado el resurgimiento de una campaña de spam en particular que está distribuyendo Andromeda / Gamarue a los dominios italianos, con un par de picos en los últimos 20 días, pero también que se remonta a abril y mayo de 2015.







Los sistemas de monitorización de CerteGo recolectaron más de 4.000 mensajes de correo electrónico con archivos adjuntos maliciosos que pueden estar vinculados a Andromeda con un objetivo final de la distribución de dos familias particulares de malware financiero.

Spam relays vinculados a esta campaña se encuentran principalmente en Europa, con un fuerte foco en España e Italia.






Los archivos adjuntos (archivos ZIP) se han elaborado utilizando nombres que se asemejan a los documentos empresariales italianos estándar, pero en realidad son archivos ejecutables que comprometen el sistema.

 Como se informó anteriormente, el ejecutable malicioso crea un nuevo proceso msiexec.exe e inyecta código en él, entonces se une a la red de bots de Andrómeda conectando al servidor de de C& C 93.115.38 [.] 134 utilizando una cadena JSON RC4-codificada.

 En la segunda etapa de la infección, hemos observado que la descarga de una o dos cargas útiles diferentes: Citadel (pandilla "ssdc32716372") o Gozi / Ursnif (una variante reciente). En el pasado reciente, otras botnets Andromeda se han detectado, uno de ellos dejando caer el malware Lethic lugar de infostealers.

En junio, el 24 también identificó una muestra diferente que tiene el mismo comportamiento, pero la orientación  era para usuarios alemanes. Esa muestra se utiliza un comando diferente y Control de servidor 5.9.253 [.] 153.

Nombre de documentos:

349-fattura-dal-13-05-2015-creata-automaticamente-sistema-automatica.exe
DSC_0101_0111[jpg].jpeg-.exe
FATT. 130-2015 SRL noleggio_pdf_.exe         
FT. 118 - 2015 srl noleggio _docx_.doc.exe
MMS_Email_N_8900277.jpeg_.exe
booking_hotel_confirmation.pdf_.exe 
fatt._130-2015_srl_noleggio_pdf_.exe
fattura Tiscali numero 026778844.pdf.exe             
fattura-100543246-sistem-genereted-verified.exe   
ft._118_-_2015_srl_noleggio__docx_.doc.exe     
ihre_rechnung_vom_24062015_als_pdf_.exe
img_005_apr2015.jpeg.exe                 
info_bank_pdf_xglapuk.exe 
large_2_03_06_2015jpgjpeg.exe

Fuente:
http://www.certego.net/en/news/andromeda-gamarue-botnet-dropping-financial-malware-hits-italian-and-german-users/

0 comentarios :

Publicar un comentario en la entrada

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.