Por si alguno aún no se enteró, en el día de ayer el presidente estadounidense, Barak Obama, realizó una conferencia de prensa sorpresiva, para anunciar que el ejército de su país se enfrentó y mató a tiros al líder de Al Qaeda, Osama Bin Laden, en Pakistán. Sin lugar a dudas, se trata de una noticia de impacto internacional, de la cual se estará hablando en los próximos días, y los atacantes no están ajenos a esto. Como era de esperarse, sin demoras comenzaron a propagarse códigos maliciosos con diversas técnicas de Ingeniería Social basadas en este incidente y, en esta ocasión, además ya estamos viendo ataques regionales en Latinoamérica.
En primer lugar, detectamos algunos foros en inglés con supuestas imágenes del cuerpo del terrorista ahorcado, obtenidas por periodistas:
El enlace en la imagen ya ha sido deshabilitado, y se trataba de un troyano detectado por ESET NOD32 como Win32/Hackarmy. Como pueden ver, un usuario del foro ya avisa al resto de los lectores que el enlace es malicioso. Claramente, la curiosidad de los usuarios sigue siendo vital para los atacantes.
Además, desde hoy temprano estamos viendo algunos ataques en Latinoamérica que también utilizan la muerte de Bin Laden como excusa para propagar malware. En esta ocasión, se trata de un correo en portugués, que tiene como título (traducido al español) "Ver video en el que Osama bin Laden, aparece sosteniendo un periódico con la fecha de hoy y desmiente su posible muerte reportada por Obama":
El enlace, como ya se imaginarán, ofrece la descarga de un archivo, un troyano bancario detectado por la heurística avanzada de nuestras soluciones como probablemente una variante de Win32/TrojanDownloader.Banload.PYR Troyano. Si se analiza el servidor donde se descarga el archivo, puede observarse que desde la misma carpeta se puede descargar otro archivo, en esta ocasión basado en la boda real (un supuesto video de la princesa con un amante previo al casamiento):
Si se observa en detalle, nótese que en el día de hoy fue agregado el segundo archivo (de Osama Bin Laden) y que ambos archivos tienen el mismo peso. Al descargarlos, pudimos comprobar que ambos archivos poseen el mismo MD5 (9EE8023B94D6186F09857DBDAD14ED09), es decir, es la misma amenaza y sólo fue modificado el nombre del archivo.
En otro orden, también pudimos identificar ataques en español en Facebook que, por el momento, no poseen malware pero sí enlaces publicitarios indeseados, y probables amenazas del tipo scam:
En resumen, ya no sólo los atacantes del resto del mundo están atentos a las últimas noticias, sino también estamos viendo ataques desarrollados desde Latinoamérica para aprovechar la propagación de malware. A la vez, es de esperarse que también aparezcan ataques de BlackHat SEO relacionados al tema, incluso en español. Ante este tipo de noticias, es indispensable que los usuarios estén atentos y tengan en cuenta las buenas prácticas en Internet, de forma tal de no exponerse a este tipo de amenazas. Osama Bin Laden está muerto, pero el malware está vivo.
Sebastián Bortnik
Coordinador de Awareness & Research