El ladrón de contraseñas se esconde en el archivo de pago y busca credenciales

¿Qué es el ataque de phishing? Tiempo de leer: 3 minutos

La gran cacería de los cibercriminales por las credenciales de los usuarios está ganando impulso rápidamente. Su estrategia generalmente sigue siendo la misma: llamar la atención de la víctima, usar técnicas de ingeniería social para hacerla ejecutar un archivo malicioso y luego robar inicios de sesión y contraseñas. Pero la táctica y la el malware los hackers usan cambios constantemente. Consideremos en detalle el ejemplo más reciente de tal ataque con una nueva variante de un ladrón de contraseñas recientemente interceptado por las herramientas antimalware de Comodo.

El disfraz

correo electrónico de phishing

Como puede ver, contiene algunos trucos de ingeniería social para manipular a las víctimas. Echemos un vistazo más de cerca a ellos.

Primero, es el tema del mensaje. Un ser humano raro se perdería una información relacionada con su dinero. Por lo tanto, los perpetradores llaman la atención de las víctimas. Pueden estar seguros de que la mayoría de los receptores leerán el mensaje.

Luego, los ciberdelincuentes nombraron el archivo "PAGO- PDF" para agregar más credibilidad (de hecho, es un archivo .ZIP, pero muchas personas no techy podrían no darse cuenta de eso). Luego, para imitar la autenticidad, agregan la foto de la "copia télex bancaria". Una imagen vale más que mil palabras, por lo que también aumenta las posibilidades de que una víctima abra el archivo.

Ahora veamos lo que está oculto dentro del "PAGO- PDF" en realidad.

El malware

Como revelaron los analistas de Comodo, "PAGO- PDF" es un archivo .html que contiene un VBScript ofuscado. Si el usuario lo ejecuta, el script descarga y ejecuta un archivo ejecutable portátil desde hdoc.duckdns.org:1133/PAGO.exe

Pago Pdf

Y el malware se convierte en acto encubierto en la máquina infectada. Primero, descubre información sobre las aplicaciones instaladas en la PC. Elige los navegadores como primer objetivo e intenta extraer de ellos inicios de sesión, contraseñas y otros datos privados.

Regopenkey

Notablemente, el los ataques de malware una gran cantidad de navegadores diferentes: Mozilla Firefox, IceDragon, Safari, K-Meleon, SeaMonkey, Flock, BlackHawk, Chrome, Nichrome, RockMeIt, Spark, Chromium, Titan Browser, Torch, Yandex, Epic, Vivaldi, Chromodo, Superbird, Coowon , Mustang, 360Browser, Citrio, Orbitum, Iridium, Opera, QupZilla y más.

Después de eso, lee los archivos de datos de cada aplicación para encontrar todas las cuentas FTP y SSH guardadas en el sistema. Para ser precisos, apunta a las aplicaciones MyFTP, FTPBox, sherrodFTP, FTP Now, Xftp, EasyFTP, SftpNetDrive, AbleFTP, JaSFtp, FTPInfo, LinasFTP, Filezilla, Staff-FTP, ALFTP, WinSCP, FTPGetter, SmartFTP y algunos más.

Finalmente, el malware busca varios clientes de correo electrónico: FoxMail, Thunderbird, PocoMail, IncrediMail, Outlook, etc., para extraer la información de las cuentas de ellos.

Después de recopilar todos los datos, el ladrón de contraseñas lo envía al servidor de los cibercriminales hta.duckdns.org/excel/fre.php.

Resumen del marco

Y esa es la triste final. Ahora todas las credenciales de la víctima están en manos de los atacantes, y ella ni siquiera tiene una idea al respecto. Desafortunadamente, cuando se haya dado cuenta de lo que sucedió, ya podría ser demasiado tarde para tomar medidas de rescate ...

El mapa de calor y los detalles del ataque.

Como puede ver, los cibercriminales llevaron a cabo el ataque desde IP 80.211.7.236 con sede en Italia utilizando el correo electrónico "hnym.hnyemei@gmail.com". El ataque comenzó el 18 de abril de 2018 a las 14:28 UTC y terminó el 20 de abril de 2018 a las 07:23 UTC.

Mapa de calor

"En el Informe Comodo Q1 2018 señalamos el aumento en los ladrones de contraseñas, y el caso confirma que esta tendencia continúa creciendo. Este tipo de malware no es demasiado sofisticado en su diseño, pero es muy peligroso en sus consecuencias ", comenta Fatih Orhan, el Jefe de Comodo Laboratorios de investigación de amenazas. "Su comportamiento furtivo permitió a los atacantes proporcionar su actividad malévola de manera encubierta, por lo que las víctimas a menudo no se dan cuenta de ser pirateadas hasta que los perpetradores usan las credenciales robadas".

Es mejor preocuparse por la protección de antemano para evitar que su red o PC sufra el robo de malware que disculparse por no hacerlo más tarde. El que se prepara mejor gana la batalla. Ese es solo el caso. Las tecnologías de Comodo protegieron a nuestros clientes del ataque e hicieron que los cibercriminales se fueran con los bolsillos vacíos ”.

¡Vive seguro con Comodo!

PRUEBE LA SEGURIDAD DE SU CORREO ELECTRÓNICO OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS Fuente: https://blog.comodo.com/email-security/password-stealer-hides-and-hunts-for-credentials/

Inteligencia de datos generativa

Password Stealer se esconde en el archivo de pago y busca credenciales

Todo lo anunciado en la Celebración del 8° Aniversario de Dead By Daylight | ElXboxHub

Códigos del Proyecto Polaro para mayo de 2024

Información más reciente

Paquete Valorant Holomoku: fecha de lanzamiento prevista, máscaras y más

Gráficos de ventas del Reino Unido: el éxito independiente Sea of Stars entra en un top 10 lleno de gigantes

Códigos de Animal Race para mayo de 2024

Los jugadores más baratos con clasificación 87 en FC 24 Ultimate Team

SteelSeries presenta Arctis Nova 5 con más de 100 perfiles de audio específicos de juegos | ElXboxHub

Navegando los desafíos de seguridad en las plataformas de comunicación: perspectivas de Interpillar