Español | English
rss facebook linkedin Twitter

URLZONE reloaded?



Desde el departamento de Ecrime de S21sec hemos descubierto una nueva familia de malware basada en el código de un malware conocido como “URLZONE” que fue detectado por primera vez en 2009. Utiliza técnicas que incluyen Algoritmo de Generación de Dominios (DGA) y transferencias fraudulentas mediante ATS (Automated Transfer System).

Hemos podido comprobar que la afectación es similar a botnets específicas de otras familias de malware como Tinba, Kins, Pykbot y Xswkit y que posiblemente sean operadas desde una misma “banda”, usando siilares inyecciones y alquilando los ATS.

Por lo que hemos podido observar, su afectación está dirigida únicamente contra clientes de entidades españolas.

En cuanto al funcionamiento, destacar que, una vez realizada la infección, utiliza inyección de código "html" en tiempo real para engañar al usuario mediante ingeniería social y poder transferir dinero de la cuenta de la víctima a otras cuentas bancarias (mulas), por medio de transferencias automáticas (ATS).

La conexión con el Panel de Control (C&C) la realiza por “https” descargando la configuración del malware comprimida con zlib, donde vienen definidos sus objetivos.

Una de las vías de distribución detectadas se realiza través del envío de un e-mail escrito en catalán con un archivo adjunto con extensión “.pdf.exe” comprimido en “factura-xxxx.pdf.zip“.


Estar atentos, pronto seguiremos actualizando los datos que vayamos obteniendo y soluciones.

S21sec ecrime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login