Koobface vuelve al ataque en navidad

Nuevamente el gusano koobface se encuentra en plena campaña de propagación, la cual se lleva a cabo a través de cuentas generadas en forma aleatoria en Blogspot.

El ciclo de la estrategia consiste en redireccionar desde la página de Blogspot, creadas de forma automática, hacia otra que simula la reproducción de un video que hace alusión a las fiestas navideñas, y que se encuentra supuestamente en YouTube:

Propagación de Koobface

Como es costumbre en la familia de gusanos Koobface, el engaño consiste en simular un video, y luego intentar descargar un archivo ejecutable con el nombre “setup.exe” (puede cambiar). Este código malicioso es detectado por ESET NOD32 a través de su tecnología heurística bajo el nombre de Win32/Kryptik.BHA.

Este factor relacionado a su detección es sumamente importante porque permite, de forma proactiva, detectar un importante volumen de variantes que formen parte de la familia Koobface y que seguirán apareciendo con motivos de las próximas fiestas navideñas.

Al comprometer el sistema, el gusano se encarga de descargar y ejecutar en el equipo víctima al menos seis códigos dañinos entre los cuales se encuentra el encargado de romper el captcha que se requiere sortear al registrar una cuenta en Blogspot. Este malware es detectado como Win32/TrojanDropper.Agent.NQX.

Asimismo, se descargan dos variantes de Koobface detectadas como Win32/Koobface.NCI y Win32/Koobface.NCH, que se encargan de retroalimentar el ciclo de propagación e infección, y al mismo tiempo transformar el equipo víctima en una zombi que formará parte de su botnet.

Cabe destacar que las soluciones de ESET detectan de forma proactiva todos los códigos maliciosos involucrados en esta campaña; con lo que queda nuevamente en evidencia la importancia de contar con la seguridad que brinda ESET NOD32.

Jorge Mieres
Analista de Seguridad

Autor , ESET

Síguenos