ESET Latinoamérica – Laboratorio
« Retorno de inversión en seguridad
La Gira Antivirus continúa en Argentina »

Nueva campaña masiva de Koobface

abril 7, 2010 4:02 am

En el día de la fecha se está llevando a cabo una nueva campaña de infección masiva a través de la popular red social Facebook. En esta ocasión lo que los delincuentes están propagando es el el conocido gusano Koobface, que hace tiempo estudiamos en el amplio informe “Utilizando redes sociales para propagar malware“.

En esta campaña en particular el gusano se propaga en la red social con mensajes relativos a supuestas cámaras ocultas con contenido erótico y con un enlace.  El mensaje llega a cada contacto del usuario infectado y el enlace redirige a sitios web cuyo título es “Video posted by… Hidden Camera”. Desde este sitio el usuario debe descargar un supuesto codec para visualizar el video:

Codec falso

Como es fácil adivinar, no se trata de ningún codec sino del archivo ejecutable del gusano Kooface. Si el usuario lo descarga y ejecuta, se infectará. A continuación muestro la detección de ESET Smart Security, al intentar descargar dicho archivo:

Deteccion de ESET Smart Security

Lo curioso de este caso en particular es que el sitio al que se ingresa sólo funciona la primera vez que se ingresa al mismo y luego se informa de un supuesto error 404 (no se encontró la página). Los atacantes hacen esto para dificultar el trabajo de los investigadores y evitar que se analicen las distintas versiones del malware.

Todos los dominios involucrados tiene el formato http://[dirección IP]:[puerto]/números_y_letras_aleatorias/. En la captura de pantalla puede verse una de estas direcciones: http://[ELIMINADO].169.144.218:167/62f469a63f1a/.

En este momento nuestro Laboratorio ha encontrado y analizado más de 100 direcciones IP (usuarios ya infectados) responsables de la propagación de este malware por lo que es muy importante prevenirse, no creer cualquier tipo de mensaje en las redes sociales (evitar ataques de ingeniería social) y utilizar el antivirus actualizado.

Actualización 13:20 hs.: hemos detectado que algunas nuevas variantes poseen además un ataque del tipo rogue para descargar nuevos ejecutables al alertar al usuario sobre falsas amenazas en el sistema. Hemos detectado al momento variantes de Win32/Adware.Antivirus2009.AA y Win32/Adware.SafetyAntiSpyware.A

Actualización 15:45hs.: continuando con el estudio de las nuevas variantes, hemos identificado que las mismas poseen componentes del tipo downloader, por lo que luego de la infección son descargadas y puestas en ejecución, según el caso, distintas variantes de otros códigos maliciosos como los troyanos Win32/TrojanProxy.Small.NEB, Win32/PSW.Delf.NSE,  Win32/Qhost.NTN, Win32/Agent.QWU; y los gusanos una variante de Win32/Koobface.NCI y una variante de Win32/Koobface.NCP.

Actualización 08/04: hemos publicado un nuevo post con más información sobre la campaña, Malware y dominios utilizados por Koobface.

Cristian Borghello
Director de Educación

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 5
Compartir en |


Categorias: Alertas, Malware
7 Comentarios »

7 Comentarios en “Nueva campaña masiva de Koobface”

  1. ESET Latinoamérica – Laboratorio » Blog Archive » Koobface vuelve con una nueva campaña de propagación dijo:
    28-5-2010 a las 11:17 pm

    [...] unos meses alertábamos sobre la puesta en marcha de una campaña masiva destinada a reclutar zombis a gran escala para el negocio que representa su botnet, y que duró varios días, empleando como [...]

  2. ESET Latinoamérica – Laboratorio » Blog Archive » Reporte de amenazas de abril dijo:
    3-5-2010 a las 10:59 am

    [...] principios de mes alertamos sobre una nueva campaña masiva de propagación/infección de un gusano ampliamente conocido y diseñado para explotar estrategias de engaño a través de [...]

  3. Alerta sobre gusano en cuentas de Facebook | NOTICIAS INFORMALES dijo:
    9-4-2010 a las 9:49 pm

    [...] empresa de seguridad informática Eset, advirtió en un comunicado sobre un gusano que estaría afectando las cuentas de los usuarios de [...]

  4. ESET Latinoamérica – Laboratorio » Blog Archive » Malware y dominios utilizados por Koobface dijo:
    8-4-2010 a las 10:20 am

    [...] las últimas horas hemos estado informando y actualizando datos sobre la campaña masiva de Koobface y sobre el gusano o gusano Koobface, que se propaga a través de diferentes redes sociales, siendo [...]

  5. Edgar Fanod32 dijo:
    7-4-2010 a las 9:37 pm

    Y seguimos con las redes sociales, enserio ya es algo alto sobre esto lo que si me intereso es lo que dicen que solo se ingresa una vez despues con que nos sorprenderan pero aun asi hagan lo que hagan las empresas detectaran esa amenaza y casi casi a ellos.
    Respecto al rogue se han aparecido mucho entre ellos uno que fue una consulta frecuente en el forospyware el Antivirus Suite y muchos lo reportaban por suerte ya ahi solucion para usuario infectado severamente.
    Bueno seria todo y felicidades por llegar a la actualizacion 5000 y por el premio de AV-comparatives:)

  6. Anónimo dijo:
    7-4-2010 a las 12:39 pm

    [...] [...]

  7. Nueva campaña de Koobface ataca a los usuarios de Facebook | OpenSecurity dijo:
    7-4-2010 a las 7:43 am

    [...] Koobface continúa haciendo de las suyas en las redes sociales. La última noticia que tenemos de este gusano es que se está propagando en Facebook a través de una nueva campaña de infección masiva, según reporta ESET. [...]

Comentarios
Contáctenos | Política de Privacidad | Noticias Legales Copyright © 1992-2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.