Luego de la masiva campaña protagonizada por Koobface de hace pocos días, nuevamente aparece una nueva variante que esta vez se aprovecha de los dominios registrados en el popular sitio Blogspot.

Cuando el usuario accede a la dirección del supuesto blog, se lleva a cabo una acción del tipo multi-stage (encadenamiento de direcciones web con contenido malicioso) empleando como intermediario una de las tantas páginas utilizadas en la campaña anterior con título "brief cord pack pitched". Sin embargo, ahora este título es aleatorio y, algunos de ellos son:

  • advantageous cantankerous detach student
  • litter schismatic sensualist switch
  • ancient haul outburst relate
  • confident diplomatic distrustful indignation
  • dreamy market radiation tilt
  • brushý celebrate fountain replete
  • intervene melodramatic small tunnel
  • professed seethe thief triumphant

Esta página contiene un script que hace referencia a una página PHP cuyo nombre es aleatorio.

Script Koobface

A su vez, este archivo contiene un script ofuscado que se encarga de redireccionar al usuario hacia la visualización de una página falsa de YouTube, con la misma estrategia empleada en la campaña anterior: "Video posted by… Hidden Camera".

Ingeniería Social de Koobface

La estructura de redireccionamiento que utiliza Koobface como estrategia de propagación en esta campaña se observa en el siguiente esquema:

Ciclo de propagación Koobface

Cuando el usuario por algún motivo accede a la dirección del blog, es redireccionado a otra página que contiene un script (sitio vulnerado) y luego, nuevamente hacia otra que corresponde a la página falsa de YouTube, desde la cual se descarga Koobface.

Una vez que el gusano infecta el sistema, establece una conexión contra un servidor desde el cual se descargan diferentes tipos de códigos maliciosos, además de reportarse cada determinado tiempo (generalmente 60 segundos) al C&C (Comando & Control) de la botnet.

Como vemos, Koobface no solo transforma el equipo en un zombi sino que también en un nido de malware destinado a retroalimentar la economía de los delincuentes informáticos. Esto conlleva a la conclusión de la necesidad de contar con soluciones de seguridad antivirus proactivas como las ofrecidas por ESET a través de su motor ThreathSense.

Jorge Mieres
Analista de Seguridad