Hemos recibido en nuestro laboratorio un correo falso con una supuesta tarjeta romántica de un afamado sitio de postales digitales. Dentro de esta postal falsa, se adjunta un enlace para su supuesta descarga que dirige a la víctima a un sitio web vulnerado donde se aloja el código malicioso.

El malware que se propaga a través de este medio es detectado por ESET NOD32 Antivirus como Win32/Dorkbot.B gusano. El código malicioso se descarga bajo el nombre de “Postal_Intercativa.mov.exe” intentando convencer a la víctima de que, justamente, se trata de una postal animada. A continuación puede visualizarse una captura del correo recibido:

Correo falso propaga Dorkbot

En este caso, el ciberdelincuente utilizó dos sitios vulnerados diferentes para propagar la amenaza. Específicamente, el correo dirige a la víctima al primer sitio vulnerado. En esta instancia, ejecuta un archivo php que realiza una redirección hacia el segundo sitio vulnerado desde donde se descarga el ejecutable malicioso. A continuación se adjunta un diagrama de la secuencia de funcionamiento:

Diagrama de funcionamiento

Asimismo, existe un archivo que cuenta la cantidad de descargas del código malicioso. Hasta la fecha corriente, la cantidad de clics indicaba cerca de 3.000 descargas:

Descargas Dorkbot

Análisis de la muestra

Existen algunos aspectos interesantes que valen la pena resaltar de esté código malicioso en particular. Analizando la muestra, se detectó que se conecta a otro sitio vulnerado para descargar una actualización que, generalmente, incluyen mejoras y nuevas funcionalidades a disposición del ciberdelincuente. En la siguiente captura de tráfico puede visualizarse la descarga del ejecutable que actualiza al código malicioso:

Actualización Dorkbot

Además, se encontró otro servidor vulnerado en donde se aloja un archivo de texto plano (txt) que es descargado por el código malicioso y utilizado para realizar phishing sobre la víctima. A continuación puede observarse el listado con el mapeo a los servidores falsos:

Listado Dorkbot

Dentro de esta lista existen importantes entidades bancarias de Chile, Colombia, Perú y Ecuador. De esa forma, el atacante puede robar información bancaria de víctimas de diferentes países.

Esta es una de las alternativas que utilizan los ciberdelincuentes para seguir propagando este tipo de códigos maliciosos. Ya se ha visto que Dorkbot  utiliza campañas mejoradas de propagación. De esta forma ha infectado más de 80.000 bots en Latinoamérica. Por este motivo, desde ESET Latinoamérica recomendamos la lectura de nuestra guía para identificar correos falsos. Asimismo, sugerimos la lectura de nuestros 10 consejos para no infectarse complementando con el uso de una solución de seguridad con capacidad de detección proactiva para estar protegidos frente a este tipo de amenazas.

Fernando Catoira
Analista de Seguridad