El día de ayer me llegó un interesante correo en el cual una supuesta señorita me declaraba su amor y a raíz de no poder hacerlo personalmente me enviaba, en su lugar, una “video postal”. Esto se trataba del ya conocido engaño de la falsa postal, pero lo que me llamó la atención no fue esto, sino la imagen contenida en el mail:

Como pueden ver, el correo incluye una imagen de la supuesta remitente de la postal. Obviamente no es ella quien envió este correo, sino que los programadores maliciosos utilizaron su imagen para darle más realismo al mensaje. Ahora… ¿cómo es que ellos obtuvieron esa imagen? Bueno, muchos de ustedes sabrán que eso no es muy complicado hoy en día gracias a las diversas redes sociales. Pero esta no es una imagen de perfil debido al tamaño de la misma, sino que es una imagen obtenida ya sea desde la galería de fotos de algún usuario de Facebook o desde otra red social donde se compartan imágenes. Esto significa que esta imagen muy probablemente este siendo utilizada sin el consentimiento de la propietaria y que la misma se haya obtenido debido a que las políticas de seguridad del perfil no hayan sido configuradas correctamente.

Esto es un claro ejemplo de lo que puede suceder si no protegemos correctamente la información que publicamos online. Existen casos peores en los cuales incluso se realizan foto montajes utilizados en sitios pornográficos o hasta pedófilos.

Siguiendo un poco con el engaño en cuestión, podemos detectar un error en la redacción del mismo (resaltado), ya que supuestamente la remitente se llama Paulina, pero más abajo ofrece un link para descargar el video completo de Alejandra.

Al hacer clic en el enlace ofrecido, se nos redirecciona a un sitio vulnerado el cual realiza otra redirección a otro sitio vulnerado donde se aloja el malware. La amenaza allí alojada es detectada por ESET NOD32 Antivirus como Win32/Qhost.OFS Troyano.

Les recomendamos que siempre sean prudentes al momento de publicar información suya en Internet y que al hacerlo verifiquen quienes son aquellos que deberían tener acceso y quienes no. La realidad es que es muy fácil subir imagenes a la web, pero el tema se complica al querer eliminarlas.

Joaquín Rodríguez Varela
Malware Laboratory Coordinator

Categories: Ingeniería Social, Malware en imágenes
1 Comment »

Como ya habíamos mencionado en el post anterior Clonando Rogue, la similitud entre las muestras mencionadas es llamativa. En este caso vamos a hacer un análisis un poco más profundo de uno de los ejecutables para demostrar en qué aspectos se diferencian entre sí y principalmente en qué se parecen.

Las muestras a comparar son “PrivacyGuard 2010”, “Privacy Corrector” , “PCoptimizer 2010” y  “PC Protection Center”, pero solo analizaremos “PCoptimizer 2010”, ya sabrán por qué.

En primera instancia las cuatro muestras están empaquetadas con la misma versión de UPX, la cual no puede ser desempaquetada de la forma clásica (upx –d ) ya que es una versión ”tuneada” del empaquetador.

Como ya sabemos, UPX es un empaquetador muy utilizado hoy en día por el malware, ya que permite una tasa de compresión muy buena y no es detectado por algunas soluciones antivirus como pasa con versiones no licenciadas de empaquetadores  más complejos y con muchas más protecciones (por ej : Themida o VMprotect)

En este caso, aunque no sea un UPX común y corriente, sigue siendo un UPX  así que en definitiva, su desempacado a mano es “sencillo”.

Ver m�s… »

Categories: Análisis de malware, Malware en imágenes, Rogue
1 Comment »

La semana pasada les contábamos sobre el retorno de la botnet Waledac, donde destacábamos el envío masivo de spam que este realizaba una vez infectado el equipo.

El día de hoy les traemos un análisis estadístico del caudal de spam enviado por un cliente afectado con el nuevo troyano de dicha botnet.

El calculo en cuestión se basa en sacar un valor promedio de la cantidad de correo basura enviado en una determinada ventana de tiempo. En este caso contabilizamos la cantidad de correos que envió el equipo que infectamos intencionalmente en un plazo de 5 minutos. A continuación los resultados de dicho análisis:

• Tiempo de ejecución: 5 minutos – Spam enviado: 200 correos aproximadamente.
• Tiempo de ejecución: 60 minutos – Spam enviado: 2400 correos aproximadamente.
• Tiempo de ejecución: 24 horas – Spam enviado: 57600 correos aproximadamente.

Como se puede observar, el caudal de correos enviados es más que considerable, y más aún si se tiene en cuenta que se trata de una botnet que acaba de resurgir. Ahora consideremos lo siguiente, una botnet esta conformada por varios equipos afectados y no solo por 1, ¿qué sucede si extrapolamos estos número a los de una red zombi real?:

• Tiempo : 24 horas x Cantidad de bots: 100 x Spam por hora: 2400 = 5.760.000 correos basura.
• Tiempo : 24 horas x Cantidad de bots: 1000 x Spam por hora: 2400 = 57.600.000 correos basura.
• Tiempo : 24 horas x Cantidad de bots: 5000 x Spam por hora: 2400 = 288.000.000 correos basura.

Ahora el panorama cambia, ya que estamos hablando de millones de correos por día emitidos desde una sola botnet. Aún así la cantidad de clientes imaginados es considerablemente baja para las que suele contener una botnet real por lo que los números serían aún mayores.

En relación al archivo kb845325.exe el cual también mencionamos en el post anterior, el mismo efectivamente es una actualización del troyano de la botnet, detectado por ESET NOD32 Antivirus por heurística como una variante de Win32/Kryptik.HN.

Podemos observar que no se necesita de una botnet demasiado grande para enviar grandes caudales de spam, permitiéndole al desarrollador malicioso tener un ingreso monetario considerable y constante gracias a la venta de este servicio.

• Costo de 1.000.000 de correos = 100 dolares
• Costo adicional por el envío del spam por 24 hs = 200 dolares

En el caso de que un potencial cliente desee enviar 57.600.000 correos en 24 horas, deberá comprar 57 listas y media más 200 dolares por el envío, que llevan a un total de 5960 dolares por día que gana el botmaster. Lo que significa que estará ganando aproximadamente 178.800 dolares por mes.

Queda más que claro que siempre y cuando siga existiendo mercado, las botnets no solo no van a desaparecer, sino que irán creciendo en cantidad y tamaño.

Joaquín Rodríguez Varela
Malware Lab Engineer

Categories: Análisis de malware, Botnet, Malware en imágenes
2 Comments »

En los análisis de muestras que realizamos a diario en nuestro Laboratorio de Análisis e Investigación es común que encontremos cosas fuera de lo común, pero debo admitir que la amenaza que detallaré a continuación logró sorprenderme.

Luego de verificar que la muestra se encontraba empaquetada, en este caso con una variante de UPX, procedí a desempaquetarla. El empaquetado de una muestra le permite al desarrollador malicioso ocultar el código de su amenaza tanto del ojo del investigador como de algunas soluciones antivirus, dificultando así su detección. A continuación pueden observar el código empaquetado en la imagen del margen izquierdo y el código desempaquetado en el margen derecho:

Como se observa en la segunda imagen, encontramos una lista de dominios de correo y de mensajeros los cuales son utilizados por la amenaza para propagarse. Aquí es cuando se torna extraño el tema, ya que debajo de los recuadros podrán observar varias lineas de texto, el cual ofuscamos, donde se leen incontables insultos en portugués. Dichos insultos son enviados a todos los contactos del usuario infectado conjuntamente con un enlace de descarga de la amenaza. Esto nos llama la atención, ya que, por lo general, estos no son los mensajes habituales que se suelen utilizar en esta metodología para lograr que las potenciales victimas caigan en la trampa. Estimamos que este cambio de enfoque se debe a que muchos usuarios ya reconocen los mensajes falsos, por lo que los desarrolladores maliciosos buscan nuevas alternativas de propagación.

Ver m�s… »

Categories: Análisis de malware, Curiosidades, Malware en imágenes
3 Comments »

Cuando de fraudes bancarios se trata, es normal pensar en ataques como el phishing, pharming de DNS y bankers entre otros. Esto se debe a que son los más frecuentes de esta categoría, pero no lo únicos, ya que existe una metodología utilizada por ciertas amenazas que rara vez solemos encontrar.

Esta metodología sobresale por realizar una acción un tanto fuera de lo común, que es sacar una “foto” de la pantalla al momento que el usuario ingresa a su cuenta de home banking. Por foto nos referimos a una captura de pantalla la cual, posteriormente, es subida a un servidor remoto del usuario malicioso:

Me imagino que muchos de ustedes se preguntaran: “¿Y la contraseña cómo la obtiene?”. Bueno, el caso es que esta funcionalidad es secundaria a lo que realiza el malware en su totalidad. El mismo dispone de un keylogger el cual captura todos los datos ingresados en el teclado pero, muchas veces, es tanta la información allí obtenida que probablemente se le dificulte diferenciar qué cosa pertenece a dónde. Es por eso que aquí entra en escena el capturador de pantalla, activándose cuando el usuario ingresa al sitio del Banco de Brasil o cuando detecta que se abrió un teclado virtual, existiendo así la posibilidad de que capture tanto el usuario como la contraseña. De esta manera el desarrollador malicioso no solo se asegura de poseer los datos correctos sino también logra que su amenaza afecte tanto a usuarios que utilizan el teclado virtual como aquellos que no.

Desde el Laboratorio de Investigación y Análisis de ESET Latinoamérica logramos acceder al servidor malicioso, donde pudimos observar archivos de registro que detallaban la cantidad de infecciones generadas y los datos robados. A continuación podrán ver una de las carpetas allí alojadas:

Las dos capturas de la esquina superior derecha pertenecen a un archivo que, como mencionamos anteriormente, cuanta la cantidad de infecciones realizadas. La primera fue tomada el día de ayer, y la siguiente el día de hoy. Como pueden apreciar, las infecciones aumentan de forma notable, donde se observa un aumento de 207 usuarios infectados en un plazo de 24 horas. La ultima captura de la esquina inferior derecha pertenece a un registro que almacena los datos robados, donde se observan el nombre de usuario, contraseña y nombre del titular de una de las cuentas robadas.

Este tipo de amenazas son creadas diariamente en cantidad, por lo que es recomendable disponer de una solución antivirus con detección proactiva para evitar ser victima de ellas. En el caso de este malware, el mismo es detectado por ESET NOD32 Antivirus bajo el nombre de Win32/Spy.Banker.UVU Troyano como se observa a continuación:

Los fraudes bancarios, lamentablemente, no dejarán de existir por lo altamente redituables que son, empujando a los desarrolladores maliciosos a buscar más y nuevas formas de infección y propagación. Es por esto que es de suma importancia siempre tomar los recaudos necesarios al acceder a nuestra cuenta bancaria, como son el no utilizar equipos ni redes públicas, verificar la autenticidad del sitio bancario al cual se está accediendo y definir contraseñas poco predecibles y de alta complejidad. Siempre que se sigan estas recomendaciones y se sea prudente al momento de navagar no tendrá de que preocuparse.

Joaquín Rodríguez Varela
Malware Lab Engineer

Categories: Análisis de malware, Malware, Malware en imágenes
3 Comments »