Tal como anunciamos el día jueves, alertando a los usuarios ante la inminente reactivación de Waledac para recrutar nuevos equipos infectados su red botnet, desde hace unas horas se comenzó a observar actividad como la prevista.

Al igual que el resto de las campañas de Waledac, que también hemos reportado desde el blog, todo se basa en el envío de correos electrónicos no solicitados, con textos breves y enlaces a sitios maliciosos. En la siguiente imagen podemos observar la captura de tráfico de un equipo infectado con las versiones anteriores de Waledac, utilizado para enviar masivamente correos no deseados con la nueva campaña.

Waledac como falso video de Youtube

Nótese en la imagen previa, las variables del correo electrónico: destinatario, remitente, asunto del mensaje ("Celebrando el 4 de Julio"), el texto del mismo ("¡Feliz cumpleaños América!") y el enlace a un dominio malicioso. Aquí pueden observar un correo similar ya recibido en una cuenta de correo de Gmail:

Waledac como falso video de Youtube

El sitio web fue diseñado con un supuesto video de YouTube que presenta la filmación sobre los fuegos artificiales que fueron lanzados el día sábado en Estados Unidos (hoy viernes ya tienen la filmación de mañana). Incluso el texto indica, para incitar a los usuarios ver el video, que fue invertida una "suma de dinero sin precedentes en este show, incluso a pesar de la crisis".

Waledac como falso video de Youtube

Algunos de los dominios que ya hemos detectado como maliciosos son:

  • [ELIMINADO]eeindependence.com
  • [ELIMINADO]ppyindependence.com
  • [ELIMINADO]eractiveindependence.com
  • [ELIMINADO]ieindependence.com
  • [ELIMINADO]iesindependence.com
  • [ELIMINADO]doorindependence.com
  • [ELIMINADO]deoindependence.com
  • [ELIMINADO]ie4thjuly.com
  • [ELIMINADO]ies4thjuly.com
  • [ELIMINADO]eo4thjuly.com
  • [ELIMINADO]iefireworks.com
  • [ELIMINADO]iesfireworks.com
  • [ELIMINADO]eworkspoint.com
  • [ELIMINADO]eworksnetwork.com
  • [ELIMINADO]firework.com
  • [ELIMINADO]reholiday.com
  • [ELIMINADO]reworksholiday.com
  • [ELIMINADO]lifireworks.com

Al igual que el resto de las campañas, los archivos son de extensión EXE y sus nombres son sencillos y relacionados con la temática. En este caso, algunos de los que hemos detectado son:

  • fireworks.exe
  • install.exe
  • movie.exe
  • patch.exe
  • setup.exe
  • video.exe

También se puede observar que en esta campaña han puesto un ícono alusivo que hemos observado en todos los binarios que pudimos descargar de los diversos dominios:

Waledac como falso video de Youtube

Como anunciamos anteriormente, el troyano utilizado en esta oportunidad es detectado proactivamente por ESET NOD32 como Win32/Waledac.JT.

Aunque el mensaje será distribuido por la independencia de Estados Unidos, los correos electrónicos están llegando a todas partes del mundo, y utilizando como técnica de Ingeniería Social algo que atraerá a todos los usuarios (no importa tu país, los fuegos artificiales atraen), los usuarios de todos los países son potenciales víctimas.

Sigan alertas, ya que estos correos seguirán circulando al menos dos semanas, teniendo en cuenta la duración de las campañas anteriores.

Sebastián