Que no os confunda el título. No hablamos del clásico de James Bond protagonizado por Sean Connery. Hablaremos de Rusia como una de las principales fuentes de creación de malware (de integración en botnets, en este caso), y del amor, como reclamo.
Los reclamos que el crimen organizado usa para diseminar malware son muchos. Casi siempre se focalizan en áreas de interés para los usuarios, y es que no hay nada mejor que un buen gancho para comercializar malware. Por citar algunos ejemplos:
* Pornografía online, generalmente a través de falsos códecs presuntamente necesarios para visualizar vídeos X
* Farmacia online, con reclamos relacionados con productos orientados a potenciar la sexualidad (Viagras, alargamiento de ciertos sitios del cuerpo) y/o medicación diversa (antidepresivos, generalmente)
* Packs de aplicaciones piratas en P2P (los clásicos keygens para usar el Photoshop o el Nero de un modo ilegal, por ejemplo)
* Postales digitales (de amigos de Brasil que no tienes ni nunca tuviste) y chorradas varias (reenvía esto 50 millones de veces o morirás en 24 horas) para diseminarse en los correos asociados a las redes de mensajería instantánea.
Hoy quería hacer una mención a un reclamo que no es tan habitual, pero que lógicamente tiene su gancho. El amor.
A la página en la que se muestra ese anuncio (ubicada en un equipo comprometido conectado a una línea ADSL norteamericana de AT&T) se llega a través de un correo escueto que sólo contiene en el cuerpo un mensaje tal que:
La URL, una vez visitada, muestra el mensaje del corazoncito, y el enlace "click here" nos invita a descargar algo. La descarga es un ejecutable, que como podéis imaginar, viene con regalito sorpresa. Pasamos el ejecutable por el scanner de Virus.org con el siguiente resultado:Código:Eternal Love http://68.*.*.150/
El payload de la muestra es un viejo conocido en el mundo del malware. La enésima variante del gusano Zhelatin, cuya variante original data de hace más o menos un año. La actividad del gusano es básicamente la de propagación, previa instalación en local de un TrojanProxy que permite a los atacantes, mediante la instalación de un proxy clandestino en la máquina, abrir un puerto TCP al azar para poder controlar la máquina posteriormente. En paralelo, el gusano modifica el registro para ser ejecutado en cada reinicio, bloquea el firewall de Windows y adultera las conexiones compartidas. Se autopropaga enviando el mensaje a todas las direcciones de correo que encuentre en la máquina.
Por otro lado, el documento HTML al que llegamos siguiendo el enlace del correo, contiene una curiosa cadena javascript en su código fuente, para ofuscar la ubicación real del ejecutable malicioso:
Si sometemos a unescape a la cadena obtenemos el hiperenlace real que apunta al ejecutable:Código PHP:<script language="javascript">
document.write( unescape( \'%3C%61%20%68%72%65%66%3D%22%77%69%74%68%5F%6C%6F%76%65%2E%65%78%65%22%3E%0D%0A\' ) );
</script>
Esta conversión la hemos hecho con la extensión para Firefox Net-Force Tools, la cual os aconsejo instaléis.
Lecciones aprendidas
1. En Internet no todo el mundo va de buen rollo, y por desgracia, existe gente que se dedica a cosas oscuras (dejemos la definición ahí). Como siempre, el consejo es no abrir ni seguir los enlaces de mensajes de correo no esperados, cuyos destinatarios no conozcamos, o cuyos asuntos provengan en lenguas foráneas. Piensa mal y acertarás. Es la regla de oro de la seguridad informática doméstica.
2. Los antivirus no son garantía suficiente para no sufrir infecciones. En el momento de someter esta muestra a la batería de motores mostrada arriba, como se puede apreciar, hay motores, alguno de ellos ilustre y recomendable como NOD32, que se traga la carga maliciosa y no advierte presencia de malware alguna. El antivirus es un complemento necesario, pero nunca es suficiente. Los datos hablan por sí solos: de los 23 motores empleados para el análisis, 12 (el 53%) no han detectado la muestra como maliciosa. Cuidado.
3. Cuando sigues estos enlaces y pinchas cumpulsivamente en todo lo que te mandan, estás permitiendo que un grupo de atacantes organizados se apodere de tu máquina, y que tu máquina sea un esclavo más en los botnets que el crimen organizado usa para robar, extorsionar y cometer delitos tecnológicos diversos. Piensa dos veces lo que haces antes de abrir correos sin precauciones.
Fuente: http://www.sahw.com/wp/archivos/2008/01/26/desde-rusia-con-amor/
Marcadores