Adobe Reader Infostealer plaga los mensajes de correo electrónico en Brasil

Infostealers Disguised as Adobe Reader Target Brazil
Frauds use forged PDF documents to deploy infostealers

Según se informa, una reciente campaña de correo no deseado por correo electrónico difunde malware de robo de información bajo la apariencia de Adobe Reader Installer.. Dentro de un documento PDF falsificado, hay una solicitud para instalar la aplicación Adobe Reader, que desencadena la descarga e instalación de malware. Considerando el idioma de dichos documentos, esta actividad maliciosa apunta principalmente a Portugal y Brasil.

Infostealer se propaga en instaladores falsos de Adobe Reader

La reciente campaña de ataques detectado por el Centro de Inteligencia de ASEC comienza con spam de correo electrónico. Los mensajes tienen un archivo PDF adjunto., con sus contenidos en portugués. Esto reduce seriamente la lista de países a los que se dirige la campaña: Brasil y Portugal.. Dentro del archivo, hay un mensaje emergente para instalar Adobe Reader, que supuestamente se requiere para abrir el documento. Breve nota al margen: los navegadores web modernos pueden manejar archivos PDF de cualquier complejidad con facilidad.

Seguir las instrucciones de un documento desencadena la descarga de un archivo llamado Reader_Install_Setup.exe, que obviamente imita un archivo de instalación legítimo del programa. Incluso repite el icono., lo que hace que el fraude sea aún más difícil de entender en esta etapa. ejecutando la cosa, que de hecho es un cargador, inicia la ejecución del malware.

Instalador falso de Adobe Reader

Sin embargo, no sucede instantáneamente: el malware realiza una serie de acciones para extraer el secuestro de DLL y ejecutar la carga útil final con los máximos privilegios posibles. Primero, genera un archivo ejecutable y coloca una DLL que contiene la carga útil real y ejecuta el proceso msdt.exe. Esta última es una herramienta de diagnóstico genuina de Windows que el malware utiliza para solicitar un servicio subordinado..

C:\Windows\SysWOW64\msdt.exe" -path "C:\WINDOWS\diagnotics\index\BluetoothDiagnostic.xml" -skip yes – código utilizado para solicitar MSDT, específicamente su herramienta de diagnóstico Bluetooth

En consecuencia, este servicio cargará una DLL maliciosa que mencioné anteriormente.. La biblioteca, a su vez, ejecuta dicho archivo ejecutable, legitimar al ladrón de información y proporcionarle privilegios máximos.

Análisis de malware ladrón

Aunque el malware utilizado en la campaña parece ser único y no pertenece a ninguna de las familias de malware conocidas, su funcionalidad apenas puede calificarse de inusual. Este ladrón de información recopila información básica sobre el sistema., lo envía al servidor de comandos y luego crea un directorio para almacenar los datos recopilados. El malware añade este último a la lista de exclusiones de Microsoft Defender, para que no interrumpa sus operaciones. También, imita la carpeta legítima de Chrome agregando un archivo ejecutable falso y también algunos de los archivos típicos de una carpeta de navegador genuina.

Robador de información de copia de carpeta del navegador
Una carpeta de navegador falsa creada por el ladrón de información para conservar los datos recopilados

Los servidores C2 utilizados por algunas de las muestras confirman las hipótesis de ataque que mencioné anteriormente.. hxps://thinkforce.com[.]br/ y hxxps://culpafade.com[.]br/ recibir los datos de Autocompletar de todos los navegadores. Si bien esto es menos de lo que los ladrones de información modernos suelen reunir, sigue siendo sensato: los navegadores conservan casi todas nuestras contraseñas.

Cómo protegerse contra el malware de robo de información?

Los ladrones de información nunca fueron los menos favorecidos en el mundo del malware, y siguen siendo una amenaza potente independientemente de las circunstancias. Sin embargo, a pesar de que sus muestras pueden incluir excelentes trucos anti-detección, todavía necesitan entrar. Y aquí es donde puedes evitarlos. con máxima eficiencia.

Cuidado con los correos electrónicos. El spam por correo electrónico probablemente será la forma de distribución de malware más extendida en esta década.. Los usuarios tienden a creer en su contenido o simplemente ignorar los riesgos relacionados., lo que inevitablemente conduce a una infección de malware. Ver una oferta tan incompleta para instalar una aplicación olvidada hace tiempo o realizar una acción que normalmente no es necesaria con este tipo de documentos debería despertar sospechas.. Al mismo tiempo, texts of such messages puede ser lo suficientemente ridículo como para hacer evidente el fraude.

Utilice fuentes de software oficiales. Sucede que ciertos archivos requieren un software específico, pero trate de usar solo distribuciones oficiales de una. Ir al sitio del desarrollador y descargar uno no lleva mucho tiempo en comparación con hacer clic en un enlace..

Tenga a mano un software antimalware decente. El malware encuentra nuevas formas de propagación prácticamente todos los días. Para evitar ser víctima del ejemplo más complicado, Es esencial un software que no le permita entrar.. GridinSoft Anti-Malware es un programa que te brindará protección en tiempo real y filtros de red con actualizaciones cada hora. Esta herramienta de seguridad se asegurará de que el malware ni siquiera se inicie en primer lugar..

<lapso largo = "uno">Adobe Reader Infostealer plaga los mensajes de correo electrónico en Brasil</durar>

Por Stephanie Adlam

Escribo sobre cómo hacer que tu navegación por Internet sea cómoda y segura. Vale la pena formar parte del mundo digital moderno y quiero mostrarte cómo hacerlo correctamente.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *