Nuevamente podemos observar que la técnica de Ingeniería Social sigue siendo la manera preferida a la hora de infectar grandes cantidades de victimas. Desde nuestro Laboratorio hemos identificado una nueva amenaza de infección, la cual se está trasmitiendo por mensajería instantánea. En este caso es a través del mensajero Windows Live Messenger, aunque también utiliza la famosa red social Facebook con el objetivo de que a la víctima se le genere confianza al acceder a este sitio, para luego descargar el malware. Comenzando con el análisis, el siguiente cuadro es una captura del mensaje enviado automáticamente por una victima previamente infectada, a todos los contactos de su cliente de mensajería instantánea:

Malware Msn

Como podemos ver, el enlace nos lleva a una página oficial de Facebook, donde esta nos advierte que nos encontramos saliendo del dominio del mismo. Vale destacar que esto ocurre, tanto si el usuario está logueado como si no… Posteriormente, se advierte sobre los peligros de seguridad del re direccionamiento:

Malware Msn

Si el usuario avanza, se llega a una página de un scam de Facebook, en el cual aparece una supuesta foto, y se ofrece la descarga de un archivo de nombre "image96523489", el cual es detectado por ESET NOD32 con el nombre Win32/Yimfoca.AA:

Malware Msn

Estos son los datos del archivo en cuestión:

  • Nombre del archivo: image96523489
  • Tamaño del archivo: 65.024 bytes
  • MD5: 4f2fa7233465d8800be0497aa8a871ed

Una vez que el archivo está en ejecución, el malware realiza una copia de sí mismo con el nombre nvsvc32.exe y este crea las siguientes claves de registros haciendo alusión a la compañía NVIDIA (para evitar que el usuario las considere sospechosas):

  • HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunNVIDIA driver monitor: "c:windowsnvsvc32.exe"
  • HKLMSOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerInstallSoftwareMicrosoftWindowsCurrentVersionRunNVIDIA driver monitor: "c:windowsnvsvc32.exe"
  • HKCUSoftwareMicrosoftWindowsCurrentVersionRun NVIDIA driver monitor: "c:windowsnvsvc32.exe"

Continuando con la infección, el malware se añade en la siguiente clave de registro, en la lista de excepciones del firewall de Windows:

  • HKLMSYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsListC:Documents and SettingsUsuarioEscritorioimage96523489.exe: "c:windowsnvsvc32.exe:*:Enabled:NVIDIA driver monitor"

Finalmente, como parte del proceso de infección, el malware inyecta código en otros procesos de Windows tales como:

  • iexplorer.exe
  • svchost.exe

Seguiremos analizando la evolución de este malware en nuestro Laboratorio, para aportarles más datos del mismo si este evoluciona o aparecen nuevas variantes. Es impórtate que ante situaciones como esta, se recuerde que la concientización es la mejor manera de evitar estos ataques. Por tal motivo, elaboramos un decálogo de seguridad para navegar de manera más segura.

Cerrando, a todos nuestros lectores, y en representación de todo el equipo de Educación e Investigación de ESET Latinoamérica, ¡les deseamos unas felices fiestas!

Claudio Cortés Cid
Especialista de Awareness & Research