Luego de informar desde el primer momento acerca de esta nueva metodología de propagación de malware a través de corrreos electrónicos, hemos analizado la forma en que los creadores de malware están adquiriendo las direcciones de correo desde las cuales envían más programas dañinos.

Al descargar el troyano downloader, el mismo permite la descarga de un gusano que ESET NOD32 detecta como Win32/Banwor.NBF, un password stealer desarrollado en Delphi y que, como su nombre lo indica, es utilizado para obtener usuarios y contraseñas para luego enviarlas al creador del malware.

El troyano se conecta al sitio http://www.nokarv[eliminado].net/gbp[variable].js y en realidad este archivo .js es el archivo ejecutable del nuevo gusano ladrón de contraseñas.

Como se indicó anteriormente, la gran cantidad de usuarios engañados e infectados hace pensar que esta técnica podría seguir siendo aplicada, ya que al seguir obteniéndose usuarios y contraseñas, le permite al creador del malware seguir propagando sus amenazas.

Debido a que los creadores de malware han cometido un error al publicar el archivo dañino, es posible conocer la cantidad real de malware propagado en las estadísticas del hosting:

Como puede verse, en apenas seis horas la cantidad de infectados continúa creciendo y en este momento es fundamental contar con una protección que detecte todas las amenazas propagadas y además desconfiar de cualquier correo que, por ejemplo, contenga mensajes poco comunes o en idiomas no manejados normalmente por el usuario.

Luego de la infección, los datos recolectados son enviados al delincuente, a través de una rutina de SMTP propia, de la siguiente manera:

En este caso, la cantidad de datos recolectados sirve para seguir infectando otros usuarios a través del envío de más correos.

Actualización 18/07/2008 13.30 Hs.

Cristian y Joaquín

Vota primero

• Propagación de malware vía correos legítimos
• Propagación de malware vía correos legítimos (III)
• Reporte de amenazas de Julio

Categorias: Malware
2 Comentarios »

En las últimas horas nuestro Laboratorio ha recibido una alta cantidad de correos provenientes de cuentas reales y conteniendo enlaces a archivos dañinos. Los correos provienen de cuentas legítimas (no spoofeadas) de usuarios de distintos servicios de webmail (como Hotmail, Yahoo! y GMail).

El correo (y su encabezado) que llega puede lucir como el siguiente:

Al intentar ver el archivo (en este caso un supuesto curriculum), se ingresa a un sitio de alojamiento gratuito de archivos:

Al descargar este archivo en realidad se está descargando un malware que ESET NOD32 detecta como Win32/TrojanDownloader.Banload.QPR.

Para tener una idea de la cantidad de usuarios que han descargado la amenaza se pueden ver las estadísticas de descargas de este archivo en particular:

Como puede verse, en un día el archivo ha sido descargado 12.945 veces (hasta el momento), lo cual hace pensar en la gran cantidad de posibles usuarios infectados, si los mismos no disponían de una protección adecuada.

Es fundamental remarcar que los correos son reales debido a que esto implica que usuarios malintencionados han tenido acceso a los datos de la cuenta (usuario y contraseña) de los correos comprometidos.

El Laboratorio de ESET se puso en contacto con usuarios dueños de las cuentas comprometidas y se le solicitó que cambiarán la contraseña de su correo. Como resultado el envío de correos se detuvo inmediatamente.

Si bien se desconoce la forma en que estos datos pudieron ser obtenidos, la masividad del caso hace pensar en un método automático para obtenerlas como puede ser el uso de keylogger o el ingreso de estos datos, por parte de la víctima, en servicios no oficiales (foros, redes sociales, sitios que brindan información de bloqueo en los mensajeros, etc.), los cuales podrían robar estos datos para comercializarlos posteriormente.

Actualización 19:00 hs: en propagación de malware vía correos legítimos II analizamos el funcionamiento y la forma en como este malware roba usuarios y contraseñas de posibles nuevas víctimas.

Cristian y Joaquín

Vota primero

• Propagación de malware vía correos legítimos (III)
• Propagación de malware vía correos legítimos (II)
• Reporte de amenazas de Julio

Categorias: Alertas, Curiosidades, Malware, Spam
4 Comentarios »

En las últimas horas nuestro Laboratorio ha encontrado extensiones de Firefox que simulan ser aplicaciones útiles, pero que en realidad son keyloggers que envían a un delincuente la información tipeada por el usuario.

Las extensiones falsas encontradas corresponden a un juego de ajedrez (chess) y a un administrador de descargas. Los archivos XPI se instalan normalmente en Firefox y a partir de ese momento la información que se tipee será robada por el keylogger.

El contenido del archivo .xpi es el siguiente:

Es importante destacar que el usuario no ve este contenido a menos que descargue el archivo y lo abra con un compresor como WinRAR. El archivo ejecutable señalado corresponde a un troyano que ESET NOD32 detecta gracias a su Heurística Avanzada:

Estas extensiones no son oficiales de la Fundación Mozilla y, al momento de escribir el presente, los archivos podí­an ser descargados desde un sitio de descargas muy popular.

Una vez instalada, la extensión aparece como cualquier otra extensión normal del navegador:

No es la primera vez que este mecanismo es utilizado y por eso es importante ser consciente de que actualmente cualquier archivo puede ser dañino y utilizado para propagar malware.

Cristian

Vota primero

• Malware a través de archivos MP3
• Reporte de amenazas de Julio
• Perfiles falsos y spam en Facebook

Categorias: Alertas, Malware
7 Comentarios »