wenassssssssss
fuente-hispasec.com
Ya hemos advertido que el spam es, en la mayoría de las ocasiones, el
comienzo del ciclo del malware, y que desde hace tiempo ya no es solo un
fin sino además un medio de realimentar la cadena. Estamos hartos de ver
correos que llegan con adjuntos y por ese preciso motivo su efectividad
a la hora de infectar ha caído. La industria del malware busca nuevas
vías, aprovechando al máximo el spam. Analizamos una muestra.
"Rebuscando en la basura", hemos descubierto en el Laboratorio que
últimamente se estila más de lo habitual el correo basura en los que
se agrupan varios vectores de ataque. Por un lado, intenta estafar con
productos "típicos" (como píldoras, hierbas y créditos) y por otro, si
no interesa comprar, procura que la víctima descargue un ejecutable.
No viene adjunto, sino que indica una URL desde donde obtenerlo. Esta
nueva estrategia está destinada a eludir las fuertes restricciones de
seguridad que ya casi todos los administradore
s implementan en su
correo. Las heurísticas paranoicas que impiden cualquier proliferación
de ejecutables y otras extensiones peligrosas adjuntas en los correos,
han hecho que la industria del malware se mueva hacia la descarga
voluntaria a través de la web. Por supuesto, convenciendo al usuario
a
través de una "sofisticada" ingeniería social.
El correo comienza con el "anuncio" en sí que invita a la descarga. Para
evitar que este mismo texto que escribo sea interceptado por los
procesos antispam, traduciré brevemente el correo:
* ¿Has visto el programa que permite localizar al dueño de cualquier
móvil a través del satélite? ¡Es un programa fantástico! Puedes
probarlo, es fácil. Ejecútalo, introduces el número del teléfono de
la persona a localizar y ya está. Copia este enlace en tu navegador
y descarga el programa
Para ver este enlace Registrate o Inicia Sesion La URL está ofuscada, no así el dominio de primer nivel ni el nombre
del programa. A continuación en el correo, bien incrustado en imagen
o en texto claro, se intenta vender el crédito o la píldora milagrosa
de turno, como de costumbre. El texto reproducido permanece invariable
en la mayoría del spam recibido.
Aquí se puede encontrar una imagen:
Para ver este enlace Registrate o Inicia Sesion En Hispasec hemos descargado y analizado el malware (sigue a día de
hoy perfectamente accesible a través de la web) y los resultados
proporcionados por VirusTotal.com a fecha de 5 de junio de 2007,
a las 15:00 hora española son:
Spambot.BXN.1 (AntiVir), GenPack:Trojan.Spambot
.BXN (BitDefender),
Suspicious – DNA (QuickHeal), Trojan.Spambot (DrWeb), Suspicious
Trojan/Worm (eSafe), suspicious (Fortinet),
Trojan-Downloader.Win32.Small.cyn (Ikarus), probably a variant of
Win32/TrojanProxy.Cimuz.NAF (NOD32v2), Mal/AvPak (Sophos),
Trojan.DR.Cimu
z.Gen.1 (VirusBuster), Trojan.Spambot
.BXN.1
(Webwasher-Gateway).
En total, 11 motores lo detectan (poco más de un tercio), la mayoría por
heurística. Una vez infectado, el malware se dedica a controlar la
máquina para que envíe más spam, recibiendo instrucciones de un servidor
ruso y ayudándose de conocidos servicios de correo online. También
intenta crear hilos con más basura en foros phpBB. Se instala como DLL
incrustada, lo que dificulta su detección, no hay proceso ni servicio
visible y además se autoborra una vez ejecutado.
Este troyano no está especialmente difundido ni se trata de un caso
excepcional. Es sólo un ejemplo de las nuevas técnicas (desde el adjunto
a la web) de eludir protecciones de seguridad y de exprimir al máximo el
spam con un doble mensaje con el que cazar a más perfiles de víctimas:
"Si no eres potencial cliente para comprar píldoras o pedir un crédito,
seguro que quieres localizar a alguien a través de su móvil", además de
eludir así los filtros de correo. Ingenioso.
Autor