El uso de noticias o personalidades famosas son algunas de las excusas más utilizadas por los cibercriminales para propagar sus ataques a través de la red. En esta oportunidad, hemos detectado una amenaza que se está propagando en la región mediante mensajes en el chat de Facebook y Windows Live Messenger con un enlace a supuestas fotos de Hugo Chávez, el presidente venezolano en estado de agonía. La realidad es que se trata de un código malicioso que, además de utilizar estos canales de comunicación como vía de propagación, una vez infectado el equipo roba credenciales de acceso a las redes sociales y realiza un ataque de phishing a distintos bancos de la región.
En el seguimiento de una botnet latinoamericana diseñada con un código malicioso detectado por ESET NOD32 Antivirus como Win32/Dorkbot, hemos detectado que los equipos zombis lanzaron una nueva campaña de propagación con los mensajes anteriormente indicados. En la siguiente imagen, se puede observar cómo el equipo zombi recibe las órdenes para comenzar a propagar por el chat de Facebook (comando http.set) y por Messenger (msn.set) el siguiente mensaje: "esta foto de hugo chavez agonizando es realmente impactante http://[ELIMINADO]/IMG00359268.JPG XD".
Cuando el usuario cae víctima del engaño y hace clic en el enlace, realiza la descarga de un archivo ejecutable y al intentar abrirlo infecta su sistema. A partir de ese momento el equipo infectado se comunicará con el Centro de Comando y Control de la red botnet (a través del protocolo IRC) y queda a espera de recibir órdenes. En campañas anteriores de este ataque se utilizaron mensajes asociados a imágenes de la cantante Jennifer López propagando el mismo código malicioso.
En la captura anterior se resalta en amarillo el comando para propagar el ataque en el mensajero de Microsoft y en verde para hacerlo a través de Facebook. Los comandos que se reciben de manera remota le permiten al atacante definir mensajes para propagar la amenaza a través de estos servicios. Cuando el sistema infectado se conecta a sitios como Facebook o el mensajero de Microsoft, el Windows Live Messenger, se envían mensajes a todos los contactos del usuario con un enlace al código malicioso. En la siguiente captura se puede observar el envío y recepción del comando y su propagación a través de estos servicios.
Sin embargo, una vez que el equipo está infectado, no solo recibirá comandos para propagar la amenaza, sino también afectará al usuario directamente, ya que la botnet posee comandos para robar credenciales de Facebook, Gmail, Hotmail y otros tantos servicios en línea. Es decir, que cada vez que el usuario se conecte, sus datos de acceso serán enviados al delincuente. Por otro lado, en este caso particular también el equipo al infectarse se descarga un listado de direcciones URL con cinco bancos de Chile y seis bancos de Perú, por lo que cada vez que el usuario se conecte a estos dominios, también serán enviadas las credenciales de acceso al home banking al atacante.
Este tipo de ataques remarcan las tendencias que veremos para la región en este 2012: la utilización de técnicas de Ingeniería Social para la propagación de códigos maliciosos y el robo de información. Con el objetivo de protegerse de este tipo de ataques, los usuarios deben estar protegidos con una solución antivirus y considerar las buenas prácticas para navegar en Internet. Aquellos usuarios que detecten que su sistema se encuentra infectado con esta amenaza, les recomendamos cambiar las contraseñas de sus correos y redes sociales de inmediato.
Pablo Ramos
Especialista en Awareness & Research
