Sin lugar a dudas Koobface es el malware referente en lo que respecta a la relación entre los códigos maliciosos y redes sociales. El troyano que se propaga por la red desde hace años, y que ha conformado una importante red botnet ha vuelto a la acción con una particularidad: ahora es multi-plataforma.
En el día de hoy se ha detectado una nueva campaña de propagación de Koobface, que tiene la particularidad de afectar a Mac OS y Linux, además de Windows. El troyano llega al usuario a través de mensajes en diversas redes sociales (Facebook, MySpace, Twitter) con la leyenda "Is this you in this video?" (en español, "¿Sos vos en este video?"). Si el usuario visita el enlace observará una pantalla simulando un video multimedia online, y se intentará ejecutar un applet de Java, lo que en los casos de muchos usuarios será alertado por el navegador. El applet no es parte de la ejecución de un video (de hecho, no hay ningún video que mostrar, es sólo un engaño, parte de la Ingeniería Social), sino que es directamente el código malicioso, una nueva variante de Koobface que aprovecha Java para poder ejecutarse en diversas plataformas.
Si se autoriza la ejecución del código Java, se descargarán archivos en una carpeta oculta (jnana), que incluyen un instalador que será ejecutado y posee las rutinas necesarias para instalar la amenaza tanto en Windows, en Linux y en Mac OS. Una vez en ejecución, las acciones del código malicioso son las mismas que las que ya conocemos de él en Windows: se ejecuta un servidor web y un servicio IRC en el sistema, como parte de la botnet de la amenaza y a la espera de nuevas instrucciones; y se activan otras funciones como la propia propagación de la amenaza, generando mensajes en las redes sociales desde el sistema infectado del usuario.
Vale destacar que diversos investigadores han probado que la implementación de la amenaza en Mac OS aún no está completamente funcional, y en muchos casos al malware no logra instalarse correctamente, aunque sí es importante destacar que los creadores de Koobface ya están haciendo foco en el malware multi-plataforma, y podremos ver nuevas variantes similares en un futuro. En la siguiente imagen podemos ver la página fuente de la infección, a través de un sistema Linux, extraída de un interesante informe que incluye un video completo de la infección bajo la plataforma libre:
Los usuarios de ESET están protegidos, ya que las variantes de Koobface son detectadas por ESET NOD32 Antivirus (esta nueva variante en particular ha sido identificada como Java/Boonana.A), tanto en su versión para Windows, para Mac OS (disponible para licencias Business) o para Linux (aún en estado beta). Como medida adicional, para todos los usuarios, recuerden que la instalación del troyano utiliza Ingenieria Social, por lo que intenten evitar el acceso a sitios web que utilicen el mensaje indicado (o similares), y estén atentos a los sitios web que intenten ejecutar código Java en el sistema.
Sebastián Bortnik
Coordinador de Awareness & Research