Recientemente recibimos en el Laboratorio de Investigación de ESET, un código malicioso enfocado en afectar usuarios brasileños utilizando como técnica de Ingeniería Social las fiestas navideñas. A continuación les mostraremos las principales características de esta amenaza y los cuidados importantes a tener en cuenta para no ser víctima de este tipo de campañas en épocas festivas.
El código malicioso que recibimos, es un archivo que puede llegar adjunto en algún mensaje de correo electrónico o a través de otro medio similar. Al momento de descargar el archivo dice ser un saludo de navidad y, de hecho, el ícono simula ser una archivo relacionado con una carta.
Este código malicioso es detectado por las soluciones de ESET como Win32/TrojanDownloader.Delf.SBK. La característica principal es que descarga otros archivos a la máquina del usuario si este no está protegido adecuadamente. Si el usuario no tiene una solución de seguridad instalada y llega a descargar y ejecutar el archivo va a ver que en su pantalla se muestra lo que parece ser una postal de navidad.
La imagen que se observa en pantalla no es para nada maliciosa. De hecho corresponde a una animación de Glimboo, un banco de imágenes y animaciones para adjuntar en mensajes de Facebook y otras redes. Hasta este punto para un usuario desprotegido no ha pasado nada malicioso que sea visible en su máquina, pero realmente además de mostrar una imagen se han descargado un par de archivos maliciosos sin que el usuario se percate.
Analizando una parte del tráfico de red generado por esta amenaza, podemos ver cómo descarga dos archivos que dicen ser imágenes. Realmente los archivos descargados son detectados por las soluciones de ESET como Win32/TrojanClicker.Delf.NMR uno de ellos, y como Win32/Spy.Delf.POO el que podemos ver en la captura de red anterior.
El primer archivo corresponde a un código malicioso que genera ganancias al atacante al forzar el sistema de la víctima a hacer clics en diferentes sitios web. La segunda amenaza es un código malicioso que roba información del sistema del usuario y la envía a un servidor remoto.
Dentro del análisis realizado de esta muestra, pudimos determinar el servidor donde se encuentra alojada la muestra. Si bien este servidor no es malicioso, ha sido vulnerado y se han copiado varias muestras de códigos maliciosos dentro del mismo. Todos los archivos que se encuentran en este servidor y que han sido cargados durante 2013 resultan ser muy similares a los descritos anteriormente.
Este hallazgo resulta ser particularmente importante pues indica que esta puede no ser la única campaña que se encuentra activa en este momento afectando usuarios brasileños. Por lo tanto les recordamos lo importante de contar con una solución de seguridad que brinde una protección proactiva a nuestro sistema, que detecte cuando un archivo es un código malicioso. Además no olvidar que no es para nada recomendable descargar archivos de correos electrónicos de remitentes desconocidos.
Si bien esta época de navidad la gran mayoría de nosotros la aprovechamos para compartir con los más queridos, este es un claro ejemplo de que existen personas inescrupulosas que utilizando cualquier tipo de técnica tratarán de afectar a aquellos usuarios que no estén protegidos adecuadamente. Así que la invitación es a navegar con cuidado mientras disfrutamos de la tecnología en forma segura.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research