Canal de Telegram

17 mar 2009

Segu-Info » » Malware con geoubicación

Malware con geoubicación

17 mar 2009, 8:03:00 a.m.   Comenta primero!
   
Los autores de malware parecen entender que entre más personalizado sea el método de infección hacia una víctima más eficaz será el ataque. Para esto han diseñado una tecnología capaz de encontrar la ubicación geográfica de posibles acontecimientos para hacer más convincente el engaño.

El gusano en cuestión es una variante de Waledac que utiliza la IP de la victima para conocer su ubicación y personalizar el ataque.

Así por ejemplo, un mensaje de correo electrónico puede llegar a la víctima con el supuesto de que una bomba explotó en su ciudad o cerca de ella. El mensaje contendrá un enlace a un sitio web que se hace pasar por la agencia de noticias Reuters y con contenido malicioso.

Una vez en la supuesta página de noticias, se alienta a los incautos usuarios a ver un video relacionado con la noticia en cuestión, por supuesto no se podrá ver el video y pedirá instalar la última versión de Flash Player. En lugar de instalar el software de Adobe lo que instala es la variante de Waledac.

La amenaza del gusano Waledac, cuya difusión se hizo masiva por el día de los enamorados, sigue latente. Como ya habíamos anunciado desde el laboratorio de ESET Latinoamérica, sus autores mantienen un constante trabajo por mantener en crecimiento la propagación de la amenaza.

Sobre finales de febrero, cuando el mundo se olvidaba de San Valentín, todos los sitios que contenían la amenaza fueron alterados, modificando sus técnicas de Ingeniería Social por el ofrecimiento de cupones de descuento.

Tres semanas después, detectamos nuevamente la modificación de las gráficas en los dominios afectados y, por lo tanto, las técnicas de engaño.

Como se puede observar, el sitio anuncia un atentado en una ciudad determinada y ofrece un video informativo al respecto. Para visualizar el video, se informa al usuario que debe descargar Flash Player, siendo finalmente un enlace al código malicioso.

Vale la pena resumir las similitudes, además de los dominios utilizados, que corroboran la continuidad de la amenaza:
  • El usuario llega al sitio web a través de un correo electrónico no deseado
  • El sitio web posee la descarga de un archivo con extensión .EXE
  • El sitio web posee un iframe que utiliza una técnica de Drive-by-Download para infectar
  • Los archivos continúan realizando tareas maliciosas similares en los sistemas
El correo electrónico que recibe el usuario mantiene las mismas propiedades que los utilizados anteriormente: pocas palabras y un enlace al sitio malicioso.

Sin embargo, además de la temática, aparecen algunas diferencias en este último cambio:
  • El sitio web posee, además de los archivos maliciosos, dos links inofensivos: uno a la Wikipedia y otro a una búsqueda de Google.
  • Los nombres de los archivos descargados ofrecen nuevas variantes relacionadas a la temática, como main.exe, contact.exe, news.exe.
  • El sitio web anuncia el atentado en diferentes ciudades, según la dirección IP que acceda al sitio web. De esta forma, las atacantes aumentan la probabilidad de que la noticia sea de impacto para el usuario.
En la imagen superior se puede ver un supuesto atentado en la ciudad de Buenos Aires pero la ubicación cambiará dependiendo de la ciudad en que nos encontremos.

Fuentes:
Blog Antivirus
The Register
Blog de ESET

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!