En el día de la fecha hemos recibido correos electrónicos que propagan malware en nombre de la popular red social de microblogging, Twitter.

El correo, que pueden ver en la siguiente imagen, posee los componentes clásicos de este tipo de ataque: dice provenir de una organización de confianza, explica al usuario algún incidente de relativa gravedad (en este caso cambiar la contraseña) y, finalmente, posee un enlace malicioso cuyo destino real es distinto al que indica el texto.

Twitter malware

Si el usuario hace clic en el enlace, pueden observar que estará descargando un archivo ejecutable (password.exe) a su computadora, que es en realidad un troyano, detectado por la heurística de ESET NOD32 Antivirus como una variante de Win32/Kryptic.ESX.

Una curiosidad respecto al contenido del correo: arriba del enlace se le dice al usuario "haga clic en el link o copie y pegue la URL en su navegador". Sin embargo, el usuario sólo se estará exponiendo al malware si hace clic, cuando en el caso de copiar y pegar será direccionado a la home de Twitter. ¿Por qué los atacantes darían una alternativa a la víctima de no infectarse? Por un motivo muy sencillo, ganar su confianza. El texto en cuestión parece ser una forma de indicar al usuario que "haga lo que desee" y, a sabiendas que la mayoría de estos harán clic en el enlace (al fin y al cabo la forma más simple), es conveniente poner un texto que logre generar confianza en la futura víctima.

Se trata de otro caso de los tantos que recibimos y detectamos diariamente en el laboratorio, que particularmente tiene un mensaje corto, claro, y se resguarda en el logo y nombre de una popular red social que está en pleno crecimiento.

Sebastián Bortnik
Analista de Seguridad