Nuestro Laboratorio ha tenido un día agitado debido a que MySpace está siendo masivamente explotado como recurso y pretexto para infectar usuarios.

El primero y más de los casos se debe a la propagación de malware vía MSN como técnica para propagar un troyano. En este caso se trata de una invitación a descargar un archivo comprimido denominado myspace.zip que contiene el archivo Image-006.JPEG_www.myspace.com detectado como IRCBot por ESET NOD32.

Archivo MySpace en MSN

Pero, el caso más peculiar que nos ocupa es la creación de sitios web falsos y procedentes de China en donde se simula ser el sitio web del de un usuario de MySpace para lograr que otro usuario inocente ingrese al mismo y descargue en forma automática y sin su intervención un troyano downloader que luego descargará otros malware en el equipo ya infectado.

El funcionamiento es el siguiente:

  • A través de la posibilidad de ver los perfiles de ciertos usuarios de MySpace se simula ser uno de estos usuarios.
  • La URL creada por el atacante es similar a las verdaderas de Myspace pero generalmente el dominio apunta a sitios chinos creados para alojar malware.

Perfil falso en MySpace

  • El usuario engañado creyendo que verá el perfil de otro usuario, ingresa (haciendo clic) a la dirección falsa.
  • Este sitio contiene un script ofuscado que se ejecuta en el equipo del usuario y descarga un archivo dañino que se ejecuta automáticamente infectando el sistema. Esta descarga y ejecución automática se logran a través de la explotación de fallos en el navegador o aplicaciones que el usuario no ha parcheado.

    Script

En este caso los troyanos descargados son detectados por la heurística avanzada de ESET NOD32, logrando la protección del usuario desde incluso antes que este vector de ataque sea conocido por nuestro laboratorio.

Heuristica de ESET NOD32

Como puede verse la falta de prevención por parte del usuario tiene diferentes facetas como:

  1. No verificar una dirección web puede hacer que ingrese a un sitio falso.
  2. No actualizar las aplicaciones puede ser que se descarguen archivos dañinos automáticamente a su sistema sin su intervención.
  3. No utilizar un antivirus con capacidades proactivas puede hacer que se infecte.

Cristian