La utilización de Ingeniería Social es indispensable para muchos ataques de malware, tal es así, que los atacantes crean maneras ingeniosas, utilizando tendencias y novedades, como por ejemplo el lanzamiento de Gran Hermano 2012, para que la víctima realmente desee descargar el archivo, y así, sin saberlo, infectar su equipo.

Estos ataques, en sus inicios no fueron preparados para llegar al público con un lenguaje distinto del ingles, evidenciado en sus malas traducciones por ejemplo, pero a través del tiempo estos han ido evolucionando y se han empezado a generar en distintos lenguajes y de manera local.

Un ejemplo de esto es lo que está sucediendo en Argentina, donde hace dos semanas con la aparición de las fotomultas contenedoras de malware, y ahora, con la aparición de una nueva amenaza, la cual utiliza Ingeniería Social para encubrirse como una oportunidad para “ingresar en la casa más famosa”, es decir, la casa de Gran Hermano 2012.

Este ataque es realizado a través de una casilla de correo, la cual podrá parecer legítima, pero al igual que el ataque anterior de las fotomultas, no se trata realmente de el correo del cual fue enviado, sino que se trata de un encubrimiento del mismo:

Una forma fácil de verificar esto es presionando el botón Responder, el cual mostrará realmente la casilla de correo de la cual ha sido enviado el correo:

Al recibir el correo se incita a la víctima a hacer clic en los enlaces que este posee, indicando que no sólo se podrá participar en el casting, sino que también podrá ganar 100 iPads y 500 iPhones. Al hacerlo, lo único que logrará el usuario es la descarga de un troyano, detectado por ESET NOD32 Antivirus como una variante de Win32/TrojanDownloader.Banload. Esta amenaza se encarga de conectarse a distintos sitios web desde dónde descarga otro código malicioso, que es alojado en los archivos temporales para luego iniciar su ejecución.

Esta última amenaza, un troyano detectado como Win32/SpyBanker, el cual modifica la configuración del sistema y crea una copia de si mismo en "C:Documents and Settings[Usuario]Configuracion LocalDatos de programaTouletBlack" con el nombre de OperationSystem.exe, que será ejecutada cada vez que se inicie el sistema. El objetivo de este código malicioso es robar credenciales bancarias u otras claves de acceso a sitios de correos electrónicos y redes sociales.

Debido a esto, es recomendable que los usuarios sepan identificar un enlace engañoso como así también identificar un correo falso. En esta oportunidad si el usuario se posiciona sobre alguno de los enlaces puede observar la dirección real en la parte inferior izquierda de la pantalla:

Esta nueva aparición muestra un crecimiento en la creación de malware dedicado especialmente para la Argentina, en este caso en particular, debido a que en dicho territorio está próximo el lanzamiento de Gran Hermano 2012.

Debido a lo anteriormente explicado, es importante que los usuarios utilicen una solución antivirus con capacidad de detección proactiva, ademas de contar con buenas prácticas para navegar en internet y tengan conciencia objetiva al momento de recibir un correo por el cual no han solicitado.

Gonzalo Presa
Analista Jr. de Seguridad