4 abr 2013

Mensajes de contactos de Skype descargan malware y minan Bitcoins

El día de hoy recibimos una denuncia sobre mensajes engañosos que llegaban a usuarios de Skype de algunos de sus contactos. Equipos aparentemente infectados enviando estos mensajes a todos sus contactos. Los mensajes incluyen URL acortadas de Bit.ly y Goo.gl tal como se ve en esta captura:

Al consultar las estadísticas del enlace de Bitly vemos que este URL corto es nuevo y ya posee más de 10.000 visitas:
Desde Segu-Info procedimos como siempre a denunciarlo y pocas horas despues ya fue señalado como "problemático", y no se registran más visitas.

Ambos enlaces acortados dirigen a http://119.18.[eliminado]/~[ELIMINADO]ra/create.php desde donde se descarga el ZIP mencionado.

También vemos las estadísticas de Goo.gl donde se observa que el enlace sigue activo con mas de 23.000 visitas y la región geografica afectando principalmente a Rusia, Ucrania, Polonia, Alemania, Italia, España, Brasil, Colombia y EEUU:

Aunque el malware es nuevo y con una muy baja tasa de detección (4 de 46) según el análisis de VirusTotal, ante la descarga del archivo skype-img-04_04-2013.zip algunos pocos antivirus lo identifican como sospechoso o malicioso al momento de la descarga...
... o apenas despues de ser ejecutado en el equipo de la víctima:


Este archivo descargado, se encuentra en un equipo alojado en la zona de la India y contiene un programa skype-img-04_04-2013.exe que al ejecutarse descarga de otros sitios web un componente adicional, el archivo boris01.exe también con baja tasa de detección (6/46).

Este último tambien realiza conexiones a diversas direcciones en Internet, con el probable propósito de reportar el equipo infectado. (Ampliaremos esta información.)
Aunque no son nuevos, hacía ya algun tiempo que no teníamos reportes de este tipo de infecciones masivas mediante spam por mensajería instantánea.

Como protegerse

Como en muchos casos aqui vale aquello de no seguir enlaces no solicitados, ni siquiera si son enviados por conocidos.

Muchas gracias a JFI por el reporte y material aportado!

Actualización 1: el malware se conecta a un IRC en IPs de Alemania XXX.25.86.198, XXX.211.99.20, XXX.227.83.111 y XXX.165.68.138 al puerto 9000 y luego intenta utilizar el sistema infectado para hacer minado de Bitcoin utilizando el procesador de la víctima:

bitcoin-miner.exe -a 60 -l no -o http://suppp.cantven[ELIMINADO].biz:1942/ -u [ELIMINADO][email protected] -p XXXXXXXX

Además si el usuario utiliza Bitcoin, el malware robará su "billetera" desde C:\Documents and Settings\Application Data\Bitcoin\wallet.dat

Actualización 2: el malware descarga otro archivo ejecutable boris-01.exe.

Actualización 3: la noticia comenzó a circular internacionalmente en The Register, Viruss, Securelist I y II debido a la cantidad de infectados.

Actualización 4: Dr Avalanche también ha realizado un análisis al respecto.

Raúl de la Redación de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!