Usuario: Contraseña:
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Autor Tema: Ransomware "Activar Windows" con operadores telefónicos fraudulentos  (Leído 626 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado COBRA

  • Colaborador
  • Trade Count: (0)
  • ****
  • Mensajes: 913
  • Colaboraciones +25/-0
  • Sexo: Masculino
  • Investigador
 Ransomware "Activar Windows" con operadores telefónicos fraudulentos
 ---------------------------------------------------------------------------

Presentamos en esta ocasión un ransomware peculiar, que juega con la
idea de la activación de Windows para estafar a los usuarios infectados.
Bloquea el sistema con la excusa de la activación. Lo novedoso es que,
en vez de pedir los datos de tarjeta o un pago a una cuenta para
devolver el control del sistema, obliga a llamar a unos números de
teléfono especiales para recibir un código... que no lo desactiva del
todo.

La funcionalidad básica del malware (anunciado por F-Secure) es residir
en el sistema y bloquear el escritorio cuando se inicia sesión. Muestra
una pantalla que simula ser la de activación tradicional de Windows,
detectando el idioma de la conexión. Invita a llamar a una serie de
números de teléfono:

002392216368
002392216469
004525970180
00261221000181
00261221000183
00881935211841

Dice que son gratuitos, pero no es así. Los números pertenecen a
operadores fraudulentos y llevan a países con tarifas muy caras, pero
los operadores la redirigen en realidad a países más baratos. Cobran el
precio de la llamada cara, y se quedan con la diferencia. Lo interesante
es que, además de la programación del troyano, es necesario que haya
detrás operadores fraudulentos para completar la estafa. Los países
a los que pertenecen los números son Santo Tomé y Príncipe (239),
Dinamarca (45), Madagascar (261) y "Globalstar Mobile Satellite Service"
(8819).

Hemos realizado la prueba y al menos desde el laboratorio, parece que
algunos no funcionan, y otros simplemente no son atendidos. En cualquier
caso, según F-Secure, atiende un sistema automático que pide marcar un
código. El código devuelve un número tras unos minutos: 1351236. El
código es válido y permite efectivamente acceder al escritorio, pero
solo temporalmente. El troyano sigue residente y volverá a activarse en
el siguiente inicio de sesión. No se entiende este comportamiento puesto
que así no conseguirán más llamadas del mismo usuario (si esa era su
intención). Siempre devuelve el mismo número y el usuario infectado solo
tendrá que recordarlo. Este código también es posible conseguirlo
realizando ingeniería inversa al troyano.

El troyano llegó a Virustotal por primera vez el 10 de marzo, con el
nombre Firefox_update.exe desde Francia. En ese momento, solo era
detectado por firmas por 3 antivirus. El día 15 pasó a ser detectado por
18 motores, hasta que poco a poco (a medida que ha captado atención
mediática) ha sido detectado por 40 motores el día 11 de abril.






Fuente.hispasec
Quien piensa de forma diferente......descubre cosas que otros no ven


Share me

Digg  Facebook  SlashDot  Delicious  Technorati  Twitter  Google  Yahoo
Smf

 

Dumpper All V.x.x

DUMPPER WPS PENTESTING