Botnets en Latinoamérica: campañas de propagación en el chat de Facebook y Messenger
enero 5, 2012 4:47 pmEl uso de noticias o personalidades famosas son algunas de las excusas más utilizadas por los cibercriminales para propagar sus ataques a través de la red. En esta oportunidad, hemos detectado una amenaza que se está propagando en la región mediante mensajes en el chat de Facebook y Windows Live Messenger con un enlace a supuestas fotos de Hugo Chávez, el presidente venezolano en estado de agonía. La realidad es que se trata de un código malicioso que, además de utilizar estos canales de comunicación como vía de propagación, una vez infectado el equipo roba credenciales de acceso a las redes sociales y realiza un ataque de phishing a distintos bancos de la región.
En el seguimiento de una botnet latinoamericana diseñada con un código malicioso detectado por ESET NOD32 Antivirus como Win32/Dorkbot, hemos detectado que los equipos zombis lanzaron una nueva campaña de propagación con los mensajes anteriormente indicados. En la siguiente imagen, se puede observar cómo el equipo zombi recibe las órdenes para comenzar a propagar por el chat de Facebook (comando http.set) y por Messenger (msn.set) el siguiente mensaje: “esta foto de hugo chavez agonizando es realmente impactante http://[ELIMINADO]/IMG00359268.JPG XD”.
Cuando el usuario cae víctima del engaño y hace clic en el enlace, realiza la descarga de un archivo ejecutable y al intentar abrirlo infecta su sistema. A partir de ese momento el equipo infectado se comunicará con el Centro de Comando y Control de la red botnet (a través del protocolo IRC) y queda a espera de recibir órdenes. En campañas anteriores de este ataque se utilizaron mensajes asociados a imágenes de la cantante Jennifer López propagando el mismo código malicioso.
En la captura anterior se resalta en amarillo el comando para propagar el ataque en el mensajero de Microsoft y en verde para hacerlo a través de Facebook. Los comandos que se reciben de manera remota le permiten al atacante definir mensajes para propagar la amenaza a través de estos servicios. Cuando el sistema infectado se conecta a sitios como Facebook o el mensajero de Microsoft, el Windows Live Messenger, se envían mensajes a todos los contactos del usuario con un enlace al código malicioso. En la siguiente captura se puede observar el envío y recepción del comando y su propagación a través de estos servicios.
Sin embargo, una vez que el equipo está infectado, no solo recibirá comandos para propagar la amenaza, sino también afectará al usuario directamente, ya que la botnet posee comandos para robar credenciales de Facebook, Gmail, Hotmail y otros tantos servicios en línea. Es decir, que cada vez que el usuario se conecte, sus datos de acceso serán enviados al delincuente. Por otro lado, en este caso particular también el equipo al infectarse se descarga un listado de direcciones URL con cinco bancos de Chile y seis bancos de Perú, por lo que cada vez que el usuario se conecte a estos dominios, también serán enviadas las credenciales de acceso al home banking al atacante.
Este tipo de ataques remarcan las tendencias que veremos para la región en este 2012: la utilización de técnicas de Ingeniería Social para la propagación de códigos maliciosos y el robo de información. Con el objetivo de protegerse de este tipo de ataques, los usuarios deben estar protegidos con una solución antivirus y considerar las buenas prácticas para navegar en Internet. Aquellos usuarios que detecten que su sistema se encuentra infectado con esta amenaza, les recomendamos cambiar las contraseñas de sus correos y redes sociales de inmediato.
Pablo Ramos
Especialista en Awareness & Research
Promedio: 5
28-4-2012 a las 2:07 pm
[...] a través de la red social. Por otro lado, el 52% de las amenazas que se propagan son enviadas por códigos maliciosos a través del chat de Facebook, mensajes privados o el muro de los usuarios. La velocidad de difusión es otro tema muy importante [...]
17-4-2012 a las 10:28 am
Este virus se instala en la memoria operativa y en verdad que es difícil eliminarla, una solución al problema seria eliminar el msn y no ingresar al facebook desde la pc infectada? También no deja accesar a los antivirus en linea pues las bloquea ……….. Gracias por la información y espero que eset5 pueda encontrar la posible solución a este problema. gracias.
19-2-2012 a las 8:01 pm
[...] para así transformarlas en parte de una red botnet. De acuerdo con los últimos informes de la compañía de seguridad ESET, el código malicioso que forma parte de esta campaña es el Win32/Dorkbot, el que se distribuye [...]
11-1-2012 a las 6:02 pm
[...] acuerdo con los últimos informes de la compañía de seguridad ESET, el código malicioso que forma parte de esta campaña es el Win32/Dorkbot, el que se distribuye [...]
10-1-2012 a las 11:01 am
[...] información del post “Botnets en Latinoamérica – Campañas de propagación en el chat de Facebook y Messenge… redactado por Pablo Ramos, Especialista en Awareness & Research de ESET [...]
9-1-2012 a las 6:32 pm
Muchas gracias Pablo por la ayuda
Saludos.
PRR
9-1-2012 a las 2:01 pm
Hola
La variante es detectada por ESET NOD32 Antivirus como Win32/Dorkbot.B. En el siguiente enlace puedes encontrar información acerca de esta variante http://www.eset.eu/encyclopaedia/win32-dorkbot-b-worm-ngrbot-gqj-w32-kolab-gen-p
Saludos,
Pablo
9-1-2012 a las 1:29 pm
Muy interesante Pablo, muchas gracias.
Si tienes el nombre de la variante de Win32/Dorkbot te lo agradecería, igual voy a investigarlo más a fondo.
Saludos
PRR
9-1-2012 a las 12:24 pm
Hola Ernesto,
Nos alegramos que te haya parecido interesante el reporte y la información.
Saludos,
Pablo
9-1-2012 a las 12:23 pm
Hora Rubén,
Nos alegramos que te interese la información. Siempre estamos reportando este tipo de ataques.
Saludos,
Pablo
8-1-2012 a las 11:38 am
[...] de ESET Latinoamérica. Para conocer más sobre este caso puede acceder al Blog de Laboratorio: http://blogs.eset-la.com/laboratorio/2012/01/05/botnets-latinoamerica-propagacion-chat-facebook-mess... Advertisement GA_googleAddAttr("AdOpt", "1"); GA_googleAddAttr("Origin", "other"); [...]
8-1-2012 a las 6:43 am
[...] Fuente: Blog de Laboratorio de ESET Latinoamérica. [...]
8-1-2012 a las 6:01 am
[...] Para conocer más sobre este caso puede acceder al Blog de Laboratorio: http://blogs.eset-la.com/laboratorio/2012/01/05/botnets-latinoamerica-propagacion-chat-facebook-mess… [...]
8-1-2012 a las 3:01 am
Muy interesante el post y efectivamente como señalan esta será una de las vías o tácticas utilizadas por la ciberdelincuencia en América Latina en este año, así como la foto de Hugo Chavéz, han utilizado a Cristina, Lula a Fidel Castro y lo peor es la cantidad de ingenuos que siguen comprometiendo su seguridad.
Seguiremos en nuestro empeño de aumentar la cultura en Seguridad Informática que además de un buen antivirus como Eset Smart Security 5 sirvan para contrarestar a estas escorias.
Saludos y Exitos desde TecnoVirus – Venezuela
7-1-2012 a las 1:13 am
Muy buena nota, efectivamente Dorkbot (NgrBot) es muy utilizado en latinoamerica por defraudadores para efectuar ataques del tipo pharming.
Saludos. @bernal3r
6-1-2012 a las 1:27 pm
Hola THE MELLO,
Efectivamente la información y la educación son muy importantes para no caer en este tipo de engaños.
Sebastián
6-1-2012 a las 1:16 am
Yo no caigo en eo porque conozco lo que es de Eset y que es algo engañoso.
5-1-2012 a las 10:11 pm
[...] Blog de Laboratorio de ESET Latinoamérica. Share this:ImprimirMásFacebookTwitterCorreo electrónicoTumblrRedditLinkedInDiggStumbleUponMe [...]
5-1-2012 a las 9:48 pm
[...] conocer más sobre este caso puede acceder al Blog de Laboratorio: http://blogs.eset-la.com/laboratorio/2012/01/05/botnets-latinoamerica-propagacion-chat-facebook-mess… Comparte esto:EmailDiggFacebookPrintNotas relacionadasFacebook, el principal blanco de ataque en el [...]
5-1-2012 a las 7:01 pm
Felicitaciones por el artículo. Muy interesante el análisis!!!