Alertan sobre virus con correo falso de la DIAN

Analistas de Kaspersky Lab han descubierto un nuevo ataque por cibercriminales colombianos que aprovecha el nombre de la DIAN (Dirección de Impuestos y Aduanas Nacionales) con un supuesto asunto de “certificado y calificación tributaria” que realmente es un programa de código malicioso.

El nombre del archivo una vez descomprimido es “Certificado y Calificacion Tributaria descargaDian-guiaDiligeciamientoVirtual-290509  pdf    .exe” y actualmente es detectado por 27 de 50 soluciones de antivirus disponibles en VirusTotal. Kaspersky Anti-Virus lo detecta como Trojan-Dropper.Win32.Dinwod.aqc

Dian Colombia

El malware maneja técnicas de detección de las máquinas virtuales para impedir su análisis en estos ambientes. Pues, verifica el tipo del disco duro, su tamaño, el BIOS y el procesador. También una vez que la máquina de la víctima es infectada, el malware busca en el sistema los antivirus instalados y luego, utilizando el anti-rootkit Avenger, los trata de eliminar dejando la PC completamente desprotegida:

El objetivo de este malware es robar los datos confidenciales de la víctima: las contraseñas, los nombres de usuarios y otros datos. Pues este funciona como un espía completo monitoreando todo lo que la víctima escriba en su teclado y también monitorea el portapapeles para los textos copiados a memoria.

Dentro de la ingeniería social que usan los cibercriminales, piden que la víctima reenvíe el mensaje a todos sus contactos. Es decir, están altamente interesados en infectar la mayor cantidad de usuarios.

El mapa de infecciones confirma que la mayoría de las víctimas reside en Colombia:

“Nuestro análisis indica que los mismos criminales que en diciembre del 2013 lanzaron un ataque parecido, son los responsables de este nuevo ataque. El centro de comando y control se encuentra en el mismo proveedor y la técnica de infección y el paquete para construir el malware son los mismos. Parece que este criminal o criminales que están detrás de este ataque prefieren especializarse en las víctimas de Colombia”, comentó Dmitry Bestuzhev, director, Grupo de Investigación y Análisis, Kaspersky Lab América Latina.

Bestuzhev también informa que si nota que su anti-virus ha sido deshabilitado, es probable que su máquina haya sido infectada. Esto lo puede confirmar si en su disco duro se encuentra el siguiente archivo: «C:\WINDOWS\InstallDir\Server.exe»

Kaspersky Lab recomienda a todos los usuarios a que actualicen su solución de anti-virus y revisen toda su máquina. Si por algún motivo no es posible realizar un escaneo de su PC, pueden utilizar la herramienta gratuita de desinfección de Kaspersky Virus Removal Tool disponible aquí.