Ya se acerca esa época del año en la que empezamos a observar pinos, luces de colores y regalos. Así es, navidad, una celebración que, entre otras cosas, se caracteriza por recibir algún que otro presente. Lamentablemente, en lo que se refiere al ámbito del malware, no solo no nos regalan nada, sino que buscan robarnos algo. En ocasiones anteriores les mencionamos algunas practicas comunes para las fiestas, pero ahora queremos mencionarles algunas otras.

Hace unos días recibimos en nuestro Laboratorio de Análisis e Investigación de Malware el siguiente script escrito en lenguaje BATCH, el cual, además de llamarse "Cold xmas.bat" (un nombre relacionado a Christmas, la expresión en inglés de navidad), realiza un serie de tareas curiosas:

Ladrón de navidad

Más allá de la utilización de lenguaje vulgar para definir las variables y posteriormente utilizar la combinación de las mismas para armar un comando, se observa cómo crea una serie de carpetas con los nombres normalmente utilizados por programas peer-to-peer.

Posteriormente busca copiar a una de las carpetas creadas todos los archivos con nombres referentes a licencias dentro de la unidad C:, y los posibles archivos de licencia de diversas soluciones antivirus, donde se destaca un nombre que apunta a los productos de ESET. Los usuarios de ESET NOD32 Antivirus pueden estar tranquilos ya que no es esta la ruta donde se guarda la licencia del producto.

Por último comparte toda la unidad C: y agradece de forma irónica las posibles licencias compartidas. Es más que claro que no es un script muy elaborado ni genérico, pero es importante destacar de todo esto que la utilización de las fiestas venideras como método de engaño es algo real y que en los próximos días probablemente se vuelva muy presente.

Es por esto que queremos facilitarles una serie de recomendaciones para evitar ser víctimas de dichos engaños:

  • Ser precavido con los correos que se reciban con supuestos saludos y postales navideñas que contengan enlaces. El hecho que los mismos provengan de contactos conocidos no es un factor determinante para catalogarlos como seguros.
  • Algunos correos y publicidades web alegan brindar grandes descuentos o, incluso, regalar productos novedosos simplemente para atraer la atención de usuarios curiosos. Bajo ningún punto se debe hacer clic en los mismos.
  • En esta época no son nada raros los sorteos, tendencia que muchos usuarios maliciosos suelen aprovechar para robar información sensible. A menos que el formulario se encuentre alojado en un sitio web cuya autenticidad haya sido verificada, se recomienda no llenar los mismos.
  • Las populares cadenas navideñas a veces poseen un propósito no tan amigable como su contenido, ya que buscan robar las listas de direcciones de correo dentro de las mismas, para luego venderlas a spammers. En caso que se desee compartir dicha cadena se recomienda reenviar la misma agregando los contactos dentro del campo "copia oculta" y eliminando las direcciones de correo que se encuentren dentro del cuerpo del mensaje.
  • En caso de querer realizar las compras navideñas de manera online, se recomienda utilizar sitios conocidos y que posean un certificado de seguridad valido. Esto se puede verificar haciendo clic en el logo del candado que suele aparecer al lado de la dirección web y luego verificar que la URL que allí aparece sea idéntica a la que accedimos mediante el navegador.

Adicionalmente a estas recomendaciones siempre es importante disponer de una solución antivirus con detección proactiva de amenazas. Este es un momento del año muy especial como para verlo amargado por una infección o estafa, es por eso que es preferible tomarse unos segundos antes de hacer clic.

Joaquín Rodríguez Varela
Malware Lab Engineer