Hemos recibido el siguiente correo phishing contra los usuarios de LAN, invitándolos a divulgar información bajo el engaño de haber ganado un supuesto premio.
El mensaje proviene de noreply@sonico.com y el asunto es “LAN PASS Y SUS OFERTAS TE HICIERON GANAR. El cuerpo del mensaje, muy llamativo, es el siguiente
El enlace indicado no lleva a la víctima al sitio de LAN como aparece sino a http://lottofacil.com.pe/only.%5Bprotegido%5DLanPass.php. Al llegar al sitio se descargará el archivo VD000232.exe.
Al analizar el archivo indicado arroja positivo por 17 de los 46 antivirus más conocidos, con los siguientes nombres: Trojan/Win32.ADH, TR/Crypt.FKM.Gen, Gen:Trojan.Heur.ZGY.7, W32/VBTrojan.9!Maximus, Trojan.Agent/Gen-Koobface[Bonkers], etc.
Al correr el malware en un sandbox, pudimos comprobar que, aparte de alterar el Registry del Windows, modificar la configuración del firewall personal y lanzar otros ejecutables, intenta conectarse con la IP 31.170.161.209, que probablemente sea su Control y Comando.
Esperamos que la presente información les sea de utilidad.
CSIRT público gratuito 