Campaña de Dorkbot a través de postales de amor falsas

Iniciado por Mavis, Noviembre 30, 2012, 10:12:10 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Noviembre 30, 2012, 10:12:10 PM
Recibimos en el laboratorio un correo falso con una supuesta tarjeta romántica de un afamado sitio de postales digitales. Dentro de esta postal falsa, se adjunta un enlace para su supuesta descarga que dirige a la víctima a un sitio web vulnerado donde se aloja el código malicioso.

El código malicioso se descarga bajo el nombre de "Postal_Intercativa.mov.exe" intentando convencer a la víctima de que, justamente, se trata de una postal animada. A continuación puede visualizarse una captura del correo recibido:


En este caso, el ciberdelincuente utilizó dos sitios vulnerados diferentes para propagar la amenaza. Específicamente, el correo dirige a la víctima al primer sitio vulnerado. En esta instancia, ejecuta un archivo php que realiza una redirección hacia el segundo sitio vulnerado desde donde se descarga el ejecutable malicioso. A continuación se adjunta un diagrama de la secuencia de funcionamiento:


Asimismo, existe un archivo que cuenta la cantidad de descargas del código malicioso. Hasta la fecha corriente, la cantidad de clics indicaba cerca de 3.000 descargas:


Análisis de la muestra

Existen algunos aspectos interesantes que valen la pena resaltar de esté código malicioso en particular. Analizando la muestra, se detectó que se conecta a otro sitio vulnerado para descargar una actualización que, generalmente, incluyen mejoras y nuevas funcionalidades a disposición del ciberdelincuente. En la siguiente captura de tráfico puede visualizarse la descarga del ejecutable que actualiza al código malicioso:


Además, se encontró otro servidor vulnerado en donde se aloja un archivo de texto plano (txt) que es descargado por el código malicioso y utilizado para realizar phishing sobre la víctima. A continuación puede observarse el listado con el mapeo a los servidores falsos:


Dentro de esta lista existen importantes entidades bancarias de Chile, Colombia, Perú y Ecuador. De esa forma, el atacante puede robar información bancaria de víctimas de diferentes países.

Esta es una de las alternativas que utilizan los ciberdelincuentes para seguir propagando este tipo de códigos maliciosos. Ya se ha visto que Dorkbot  utiliza grandes campañas de propagación y de esta forma ha infectado más de 80.000 bots en Latinoamérica.

Saludos!

Fuente: Laboratorios ESET
Imprimir
Ir Arriba Páginas1
Acciones del Usuario