El siguiente post es una traducción del texto realizado por Alexis Dorais Joncas y Pierre-Marc Bureau, especialistas de seguridad de ESET. Ha sido publicado en el blog de ESET en inglés y el mismo comenta acerca de un gusano causó estragos en la plataforma de mensajería instantánea de Microsoft, el Live Messenger 2009, lo cual llevo a la companía a deshabilitar temporalmente los enlaces.
Este fin de semana, un código malicioso sin nombre forzó a Microsoft a deshabilitar temporalmente los enlaces en Live Messenger 2009, en prevención de un gusano agresivo que se estaba expandiendo rápidamente. Dicha acción fue más que sopresiva, debido a que los gusanos que se propagan mediante mensajeros instantáneos, entre ellos Skype, Yahoo! Messenger y Microsoft Live Messenger, ¡no son novedosos en lo absoluto! Por ejemplo, el gusano AimVen fue descubierto en el 2003 y tuvo como objetivo la plataforma del mensajería instantánea de America Online (AOL).
El modus operandi de este tipo de ataques es sencillo:
- La víctima recibe de uno de sus contactos un mensaje que contiene un enlace.
- La víctima hace un clic en el enlace.
- La víctima se infecta.
El único propósito del hipervínculo es instalar un programa malicioso en el equipo de la víctima. El mismo puede apuntar a un archivo ejecutable, a una página infectada con un exploit del navegador, tales como el kit Eleonore (véase el siguiente artículo en inglés de Brian Kreebs), o a una página diseñada para atraer a los usuarios a descargar y ejecutar código malicioso a través de Ingeniería Social.
Este mecanismo de propagación son una manera muy efectiva para que el malware se mantenga activo y prospere. A medida que pasa el tiempo, los atacantes están refinando sus técnicas para convencer a las víctimas potenciales de visitar los enlaces maliciosos. Por ejemplo, el gusano Butterfly espera hasta que la víctima entre en una conversación antes de enviar el mensaje malicioso, en lugar de enviarlo así por que sí. El gusano también puede utilizar geolocalización para utilizar el mismo idioma que la víctima o incluso relacionarlo con noticias correspondientes a su país. Estas técnicas avanzadas hacen que los mensajes maliciosos sean mucho menos sospechosos y de esta manera engañar hasta a los usuarios más cautelosos.
Uno de los gusanos activos que utiliza esta técnica es el que se encuentra detras de la famosa botnet Mariposa, denomniado Butterfly y también conocido como Win32/Bflient, Win32/Peerfrag, Win32/Rimecud. Sorpresivamente, Butterfly prevalece como una amenaza a pesar del arresto de su supuesto autor esloveno, que se llevó a cabo este año como así también la red Mariposa fue desmantelada. En efecto, el reporte de ESET en ThreatSense demuestra que Win32/Bflient.K entro en el top 10 de las amenazas, puntualmente en el octavo puesto.
Aquí podemos ver un mensaje de la vida real de Butterfly utilizando el MSN de Microsoft para auto propagarse. La semana pasada, una máquina comprometida recibió una orden del operador de la botnet para comenzar a propargarse mediante el siguiente mensaje:
mira a ana D http://bit.ly/[ELIMINADO]
Como podemos ver, se utiliza un acortador de URLS para ofuscar el destino real. Cuando la víctima abre el enlace, puede observar un reproductor de video falso y un pop-up que lo invita a instalar una actualización del Flash Player. Obviamente, el archivo es cualquier cosa menos una actualización, en este caso se trata de la última versión del gusano que estaba siendo almacenado en sitio web canadiense.
¿Fue un nuevo brote del gusano lo que causó que Microsoft tomara la acción de bloquear los enlaces activos en Live Messenger 2009? ¿quién sabe? Pero una cosa es segura, el bloqueo de los links tiene que ser integrada rapidamente en los clientes de mensajería instantánea, debido a que los atacantes seguirán utilizando este poderoso vector de infección para infectar nuevas víctimas todos los días. Microsoft se lleva un punto a favor por integrar la seguridad de enlaces en el Live Messenger 2011.
Alexis Dorais Joncas
Pierre-Marc Bureau