Campaña de phishing contra clientes de LAN Perú

Hemos recibido el siguiente correo phishing contra los usuarios de LAN, invitándolos a divulgar información bajo el engaño de haber ganado un supuesto premio.

El mensaje proviene de noreply@sonico.com y el asunto es “LAN PASS Y SUS OFERTAS TE HICIERON GANAR. El cuerpo del mensaje, muy llamativo, es el siguiente

PhishingLAN

El enlace indicado no lleva a la víctima al sitio de LAN como aparece sino a http://lottofacil.com.pe/only.%5Bprotegido%5DLanPass.php. Al llegar al sitio se descargará el archivo VD000232.exe.

Al analizar el archivo indicado arroja positivo por 17 de los 46 antivirus más conocidos, con los siguientes nombres: Trojan/Win32.ADH, TR/Crypt.FKM.Gen, Gen:Trojan.Heur.ZGY.7, W32/VBTrojan.9!Maximus, Trojan.Agent/Gen-Koobface[Bonkers], etc.

Al correr el malware en un sandbox, pudimos comprobar que, aparte de alterar el Registry del Windows, modificar la configuración del firewall personal y lanzar otros ejecutables, intenta conectarse con la IP 31.170.161.209, que probablemente sea su Control y Comando.

Esperamos que la presente información les sea de utilidad.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s