Nuevas versiones del gusano Mimail roban números de tarjetas de crédito

En las últimas horas hemos podido observar desde Hispasec un aumento
significativo en los reportes de las nuevas versiones I y J del
gusano Mimail.

Simulando ser un mensaje del servicio PayPal, estas nuevas versiones

solicitan al usuario datos sensibles sobre su tarjeta de crédito.

Afortunadamente es muy fácil reconocer la llegada de estos gusanos a

simple vista, ya que se distribuyen en un e-mail con el mismo remite y

asunto.

El uso de textos fijos en los campos de remitente y

asunto, sin duda, facilitará el reconocimiento a los usuarios y la tarea

a los administradores de servidores de correo que cuenten con filtros y

sistemas anti-spam. Los textos a tener en cuenta para detectar a

Mimail.I y Mimail.J son:

Remite: donotreply@paypal.com

Asunto:

YOUR PAYPAL.COM ACCOUNT EXPIRES

Remite: Do_Not_Reply@paypal.com

Asunto: IMPORTANT

El cuerpo del mensaje, en inglés, solicita que

debemos actualizar la información de nuestra cuenta en PayPal o de lo

contrario expirará pasados 5 días. Para llevar a cabo el proceso de

actualización, nos pide que ejecutemos los archivos adjuntos al e-mail,

que en realidad contienen el código del gusano.

Los archivos

adjuntos pueden tener los siguientes nombres:

www.paypal.com.scr

paypal.asp.scr

www.paypal.com.pif

InfoUpdate.exe

Si el usuario

ejecuta el archivo adjunto el gusano infectará su equipo, y mostrará un

Lea también : El ‘ransomware’, el ‘phishing’ y los ataques a la cadena de suministro acechan a las pymes

formulario con el logotipo de PayPal que solicita datos sensibles de la

cuenta, como número de tarjeta de crédito, PIN, código CVV (3 dígitos de

comprobación que suelen aparecer en el reverso de la tarjeta de crédito)

y fecha de expiración.

En el caso de Mimail.J, y a

diferencia de Mimail.I, una vez rellenado ese formulario aparecerá un

segundo requiriendo datos personales, como nombre y apellidos, fecha de

nacimiento, domicilio, número de la seguridad social, etc.

Los datos que el usuario introduzca en esos formularios serán

almacenados en el archivo C:ppinfo.sys. Posteriormente este archivo,

que contiene los datos sensibles de la tarjeta de crédito, será enviado

a diferentes cuentas de correo que definió el creador del virus.

El gusano se instala en la carpeta de Windows bajo el nombre de svchost32.exe

y, como suele ser habitual en estos especímenes, añade una entrada a la

clave RUN del registro de Windows para asegurarse su ejecución en cada

inicio del sistema:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunSvcHost32

= [directorio de windows]svchost32.exe

Antes de comenzar los

envíos, tanto de propagación a otros usuarios como de los datos

recolectados a la cuenta del creador del virus, el gusano comprueba si

el sistema está conectado a Internet intentando resolver el dominio

www.akamai.com.

El gusano busca direcciones de correo dentro de

todos los archivos que encuentra en el sistema infectado, ignorando los

archivos con algunas de estas extensiones: avi, bmp, cab, com, dll, exe,

gif, jpg, mp3, mpg, ocx, pdf, psd, rar, tif, vxd, wav, zip. A las

direcciones encontradas les enviará el mismo mensaje con el gusano

Lea también : Bitdefender ofrece un descifrador a las víctimas del ‘ransomware’ ShrinkLocker

adjunto, tal y como describimos al principio.

Adicionalmente el

gusano puede escribir en el sistema otros archivos que utiliza en los

diferentes procesos, a continuación un listado resumen:

c:cansend.sys

c:pp.gif (icono de paypal)

c:pp.hta (interfaz de

los formularios)

c:ppinfo.sys (datos recopilados de la tarjeta de

crédito)

[directorio de Windows]ee98af.tmp (copia del gusano)

[directorio de Windows]el388.tmp (direcciones e-mail)

[directorio de

Windows]svchost32.exe (copia del gusano)

[directorio de

Windows]zp3891.tmp

En el momento de escribir esta nota hay

algunos antivirus que aun no reconocen la versión de Mimail.J, si bien

esperamos que en cuestión de horas se encuentren disponibles las

actualizaciones para todos los productos.

En cualquier caso.

desde Hispasec, esperamos que la incidencia de infecciones reales

causadas por estos gusanos (no confundir con número de mensajes

detectados) sea baja en países de habla hispana, dado que el uso del

servicio PayPal está más extendido en otros países, además de que los

textos con los que el propio gusano intenta engañar a los usuarios están

en inglés.

Lea también : QNAP soportará QTS 5.2 y QuTS hero h5.2 a largo plazo