Durante la tarde del día de ayer comenzamos a recibir reportes de distintas zonas de la región respecto a una posible amenaza que se está propagando masivamente a través de Skype por toda la región. Acorde al análisis realizado por el Laboratorio de Investigación de ESET Latinoamérica el 67% de las infecciones a nivel global se encuentran en América Latina.
Hasta donde sabemos, se trata de un gusano informático cuya campaña ha sido lanzada el día de ayer y cuyo impacto y velocidad de propagación han sido superiores a la media con un particular impacto en la región. En este momento el equipo de Laboratorio de Investigación de ESET Latinoamérica está trabajando para analizar a fondo la amenaza pero en primera instancia, es importante realizar el alerta para que los usuarios estén prevenidos, ya que la amenaza utiliza Ingeniería Social para su propagación, dependiendo de un clic del usuario para la infección del equipo.
Entonces compartimos con ustedes los datos que ya tenemos compilados de la amenaza, y estaremos trabajando en el transcurso de estos días para poder acercarles información más detallada de la amenaza.
¿Qué sabemos de la amenaza?
Para empezar, se trata de un gusano informático, que se propaga a través de Skype. El mismo es detectado por los productos de ESET como Win32Gapz.E (inicialmente detectado por heurística como Win32/Kryptic.BBKB) y otras variantes de la misma familia. Además, sabemos que el impacto en la región ha sido importante, dada la alta cantidad de reportes que hemos recibido ayer, especialmente por la tarde. También sabemos que en el transcurso de la misma tarde hemos visto más de un binario relacionado a la amenaza, por eso actualmente estamos analizando todas las muestras para mayor detalle.
Además, hemos podido observar que la propagación se da con textos relacionados a supuestas fotos, con un enlace acortado por goo.gl, que conecta a algún otro servicio de alojamiento de archivos (como 4shared, entre otros). Entre otros textos, hemos visto:
hola, son estos realmente sus fotos? [enlace]
esta es una foto muy amable de tu parte [enlace]
jaja, esta foto extraña de tu perfil [enlace]
Analizando las estadísticas brindadas por el acortador de URL de Google (que utiliza la amenaza para su propagación), podemos confirmar que más de 300 mil personas han hecho clic en los tres enlaces que pudimos analizar en el día de hoy, lo cual confirma la magnitud de los posibles afectados y la velocidad de propagación que está teniendo la amenaza:
Respecto al impacto de la amenaza, las estadísticas que ofrece el propio Google confirman el porqué hemos recibido ayer por la tarde tantos reportes de Colombia, siendo este uno de los tres países donde más clics se hicieron en este enlace. Por ejemplo, en uno de los tres enlaces identificados al momento, se identifican casi 15 mil clics de Colombia, solo por detrás de Alemania que encabeza la lista de más clics. Entre los tres enlaces, podemos contabilizar más de 35 mil clics en Colombia y al menos 80 mil en Latinoamérica:
Nuestras estadísticas confirman las sospechas, según nuestros sistemas ESET LiveGrid, los cinco países donde más detectó la amenaza nuestro producto fueron (en el siguiente orden): Colombia, México, Guatemala, Costa Rica y Rusia, siendo el 67% de las amenazas detectadas ubicadas en Latinoamérica, lo que confirma que esta región ha sido el foco de la campaña.
¿Qué estamos averiguando?
Tenemos motivos para pensar que se trata de nuevas versiones de una amenaza que comenzó a circular en marzo de este año, y asimismo estamos confirmando que nuevas variantes también se propagan por Gtalk, el chat de Google. Asimismo, hemos visto nuevas muestras que están firmadas digitalmente, estamos confirmando que se trata de la misma campaña.
En este momento estamos haciendo un análisis de todas las muestras para determinar con más detalle cómo funciona la amenaza, cuál es el daño que causa en el equipo y al usuario una vez infectado (campañas similares bloqueaban el equipo a cambio de una recompensa o hacían fraude de dinero virtual), y por último, el impacto de la propagación en la región. También tenemos sospechas que la amenaza utiliza el idioma del sistema, para así poder seleccionar cómo propagar la amenaza, ya que se han identificado previamente campañas con mensajes similares pero en inglés.
Es muy importante que por estos días estén muy atentos a este tipo de mensajes en servicios de mensajería, que no hagan clic sobre ninguno de ellos y que, ante la duda, ejecuten una exploración del sistema con el antivirus, o reporten la muestra al Laboratorio de ESET Latinoamérica. Los mantendremos informados pero, mientras tanto, ¡a cuidarse!
Sebastián Bortnik
Gerente de Educación y Servicios