Alerta de Seguridad Informática por propagación del troyano Win32.Andrómeda. Atacando a Cuba

Como parte de las acciones de la OSRI para proteger las redes cubanas, tenemos a bien ponerles al tanto que desde el 1ero de noviembre de 2014, se viene detectando el envío masivo de correos a cuentas nacionales con adjuntos que contienen el troyano Win32.Andrómeda. Este programa maligno se encuentra asociado a la Amenaza Persistente Avanzada (APT por sus siglas en inglés) Anunak que afecta a instituciones financieras y de otro tipo en varias partes del mundo.

Una APT es un ataque llevado a cabo por delincuentes informáticos, con el objetivo de robar datos e informaciones para su beneficio económico, obteniendo registros de clientes, planos, guías de diseños de productos, códigos fuentes e información confidencial, entre otras. Estos ataques son dirigidos, persistentes, evasivos y complejos, realizándose en varias etapas y durante períodos prolongados hasta alcanzar sus objetivos. En la etapa inicial de dichos ataques se recopila información de todo tipo usando, entre otros, los sitios web personales y de la organización objetivo, redes sociales y técnicas de Ingeniería Social.

Estos envíos de correos se han caracterizado hasta el momento por contener ficheros adjuntos, tales como:

  • iphone_photo.zip

  • my_photo.zip

  • my_iphone_photo.zip

  • my_photo_sexy.zip

  • my_sexy_photo.zip

  • my_photo_sexyy.zip

Los dominios e IP más utilizadas para el envío de estos correos hacia nuestro país han sido:

  • marketmindful2.com desde la IP 205.237.91.186

  • cybercomthursday.com desde la IP 193.86.21.186

  • windfuldelivery2.com desde la IP 205.237.91.186

Teniendo en cuenta lo antes expuesto usted debe de MANERA INMEDIATA, bloquear dichos dominios e IPs para evitar la entrada y salida de correos desde y hacia los mismos. Por otra parte, en el mediano plazo debe realizar acciones de educación de usuarios de las Tecnologías de las Información y las Comunicaciones en su organización, para evitar que abran correos de procedencia dudosa y adjuntos .zip con los nombres mencionados con anterioridad.

Quisiéramos comentarles que el Artículo 4 de la Resolución 127/07 del Ministro de la Informática y las Comunicaciones, el que pone en vigor el Reglamento de Seguridad para las Tecnologías de la Información señala.

ARTÍCULO 4: Cada entidad que haga uso para el desempeño de su actividad de las tecnologías de la información está en la obligación de diseñar, implantar y mantener actualizado, un Sistema de Seguridad Informática a partir de la importancia de los bienes a proteger y de los riesgos a que están sometidos, con el fin de alcanzar los siguientes objetivos:

  1. Minimizar los riesgos sobre los sistemas informáticos.

  2. Garantizar la continuidad de los procesos informáticos.

Es de nuestro interés que usted nos informe sobre el cumplimiento de lo indicado en esta Alerta de Seguridad no más tarde del 27 de febrero del año en curso, a través de la dirección electrónica reporte@osri.gob.cu.

Equipo de Respuesta a Incidentes Computacionales de Cuba

OSRI

Datos Adicionales:

Nombre: msacqfbzx.exe Trojan-Downloader.Win32.Andromeda.qqy

Este tipo de infección se propaga a través de medios extraíbles, como memorias USB, tarjetas SD, móviles, GPS, tabletas ..
Cualquier dispositivo USB que contiene un espacio de disco puede ser contaminado.

Propagación

En (1) el USB esta conectado en un PC infectado, donde la infección está activa.
Este creará automáticamente una copia de su código malicioso (2) en el USB.
Una vez que el USB está contaminado, sirve como un medio de transporte a la infección para infectar un equipo en buen estado (3).

Fichero: msacqfbzx.exe

  • Detección : Trojan-Downloader.Win32.Andromeda.qqy
  • Analizado con VirusTotal el : 2015-02-11 08:29:05
  • Peso : 63488 bytes.
  • Typo : application/x-dosexec
  • MD5: 6ed5234b74ca5a4df72eccbab07cdaa3

Detección antivirus

Detección antivirus

  • AhnLab-V3 : Spyware/Win32.Zbot
  • Antiy-AVL : Trojan[Ransom]/Win32.PornoAsset
  • Avast : Win32:Fareit-CW [Trj]
  • AVG : SHeur4.AYWI
  • BitDefender : Gen:Variant.Kazy.138381
  • ClamAV : Win.Trojan.Agent-146885
  • Comodo : TrojWare.Win32.Kryptik.AWHV
  • DrWeb : BackDoor.Andromeda.22
  • Emsisoft : Gen:Variant.Kazy.138381 (B)
  • ESET-NOD32 : Win32/TrojanDownloader.Wauchos.A
  • Fortinet : W32/Zbot.ANQ!tr
  • F-Prot : W32/Agent.RP.gen!Eldorado
  • F-Secure : Gen:Variant.Kazy.138381
  • GData : Gen:Variant.Kazy.138381
  • Ikarus : Trojan-PWS.Win32.Fareit
  • Jiangmin : Trojan/PornoAsset.svs
  • K7AntiVirus : EmailWorm ( 003247681 )
  • Kaspersky : Trojan-Downloader.Win32.Andromeda.qqy
  • Kingsoft : Win32.Troj.Undef.(kcloud)
  • Malwarebytes Anti-Malware : Trojan.Agent.CV
  • McAfee : PWS-Zbot.gen.ary
  • McAfee-GW-Edition : BehavesLike.Win32.Virut.kc
  • Microsoft : Worm:Win32/Gamarue.I
  • MicroWorld-eScan : Gen:Variant.Kazy.138381
  • NANO-Antivirus : Trojan.Win32.Andromeda.bfqcin
  • Norman : Kryptik.KYN
  • nProtect : Trojan/W32.PornoAsset.63488.F
  • Panda : Trj/Genetic.ge
  • CAT-QuickHeal : Worm.Gamarue.B
  • Rising : PE:Worm.Gamarue!6.590
  • Sophos : Mal/ZboCheMan-D
  • Norton : Packed.Generic.398
  • TheHacker : Trojan/Downloader.Wauchos.a
  • TrendMicro : TROJ_KREPTK.SM08
  • TrendMicro-HouseCall : TROJ_KREPTK.SM08
  • VIPRE : Virtool.Win32.Obfuscator.acp (v)
  • VBA32 : SScope.Backdoor.IRCBot.3013
  • Bkav : W32.FareitWauchos.Trojan