Como habíamos adelantado en nuestro artículo "Waledac, el troyano enamorado", los creadores de este malware han basado gran parte de su trabajo en la constante actualización de las técnicas de Ingeniería Social para infectar a los usuarios. Esto hace de Waledac una de las principales botnets que están siendo utilizadas en la actualidad.
En el día de la fecha, todos los dominios controlados por Waledac han modificado nuevamente su apariencia para corresponder con la nueva campaña de spam para propagar el malware. En este caso, muchos usuarios estarán recibiendo a partir de la fecha correos no deseados anunciando "un programa para leer SMS gratuito".
El nuevo aspecto de los sitios web es el siguiente:
Nótese el cierre del texto para captar la atención de la víctima: "¡Este es un servicio extremadamente nuevo!". Como en los casos anteriores, si el usuario descarga este supuesto programa, estará descargando un malware, detectado por ESET NOD32 como una variante de Win32/Waledac troyano.
Los nombres utilizados nuevamente varían para ser coherentes con la temática del sitio:
- free.exe
- freetrial.exe
- install.exe
- smsreader.exe
- setup.exe
- smsspy.exe
- sms.exe
- trial.exe
Sin embargo, cabe destacar que los dominios utilizados no mantienen todos la misma lógica: aunque fueron registrados nuevos dominios con las palabras "sms", "spy", y otras; los dominios anteriores se siguen utilizando según las técnicas utilizadas previamente, pudiendo ver la nueva interface en dominio con palabras como "love", "cupon", "song", "news", etc.
Claramente Waledac será una amenaza que estará latente por un buen tiempo, e independientemente de la protección que brinda el antivirus, es importante que los usuarios estén educados respecto a estas técnicas de infección.
Sebastián