ALERTA YPT: MALWARE SUELTO INTENTA ATACAR BANCO LOCAL
Este mensaje es una alerta concreta para clientes no solo del Banco que se menciona en las capturas de pantalla, sino de todos los clientes de Bancos Bolivianos en general. Aun queda mucho por hacer en temas de sensibilizacion para lograr una actitud defensiva ante la llegada de correos como el que ahora es descrito:
Me di el tiempo mínimo para analizar el correo, dado que no es un banco del otro lado del mundo, sino uno nuestro, boliviano y las posibles victimas igualmente.
Espero que tanto el Banco como ASOBAN hagan correr sus oficios correspondientes y considerando que este correo fue enviado a eso de las 5AM y siendo las 10:00 son 5 horas para disparar sus protocolos de alerta.
Ahí vamos con el análisis
El cuerpo del correo trae una frase muy de enganche, como que el pago no se recibió. Sin duda fin de año muchos esperan cerrar un año con ventas y los pagos son muy esperados. La redacción tiene su atractivo, por la ortografía y signos de puntuación.
Lo primero que destaca, claro para alguien que vive medio de esto, es la dirección del dominio. No se si fue error intencional, es una prueba de concepto que alguien esta haciendo para validar cuantos caen, pero al final es llamativo. Al nombre desplegado le falta una letra.
Normalmente a continuación se analiza la cabecera del correo. Ahi nos encontramos que se esta involucrando dominios del vecino pais Paraguay. Ya corrimos las acciones de alerta correspondientes.
Inclusive se ve una cuenta de correo gmail que seguramente se esta utilizando para medir el impacto.
Analizando el archivo adjunto se ve inicialmente un archivo PDF, lastimosamente muchos antivirus no lo reconocen como algo peligroso.
El archivo comprimido dentro trae un archivo .exe generalmente se hace esto para saltar controles perimetrales que evitan el trafico de ejecutables via correo.
En modo comprimido solo lo reconocen 3 de 60 productos
Enviando la muestra ya en modo descomprimido se observa que solo 6 antivirus reconocen la muestra, al resto se les paso. Y el resto lastimosamente son el top 5 de los antivirus que tenemos en el país.
En modo descomprimido ya son 6 de 60 que lo identifican como un archivo EXE dañino.
Por supuesto que el análisis del ejecutable trae cosas mas interesantes como la metadata que sabemos puede ser falseada, pero no deja de ser interesante, la llamada a librerias de Visualbasic, por ahi aparece algo como una dirección web, etc, etc.
CONCLUSIÓN:
La curiosidad mato al gato y aunque murió sabiendo, puede afectar a todos los gatos vecinos.
Si no esperan un correo tan atractivo, mejor no lo abran. Si quieren pueden derivarlos para que nos entretengamos y podamos compartir estas experiencias.
Así como estar muy abrigado no nos protege siempre de un resfrió, ningún producto antivirus podrá tener una eficacia del 100%. todas las medidas de protección suman.