Koobface sigue pegando

Hace varios meses que no tenemos noticias de Koobface, lo cual quizás deja la errónea sensación de que esta amenaza ha dejado a un lado sus actividades maliciosas. Sin embargo, lejos de ello, Koobface es uno de los códigos maliciosos con mayor tasa de propagación/infección, y cada cierto tiempo agudiza sus propuestas fraudulentas lanzando campañas masivas de infección.

Pueden leer algunas de ellas en Nueva campaña masiva de Koobface, Koobface continúa su campaña de propagación y Koobface vuelve con una nueva campaña de propagación.

Desde el Laboratorio de Análisis e Investigación venimos siguiendo muy de cerca sus pasos anunciando periódicamente sus hazañas. Y nuevamente hemos detectado una campaña muy similar a la anterior, en la cual, como es habitual del grupo que se esconde detrás de koobface, se utiliza una estrategia de ingeniería social encubierta bajo una supuesta página de YouTube, como la que se expone a continuación:

Koobface

Para su propagación, koobface se aloja en carpetas ocultas que son creadas de forma aleatoria en los servidores, ya sea destinados para la propagación controlando las tasas a través de algún crimeware, o bien alojando los archivos maliciosos en servidores comprometidos.

Desde la falsa página de YouTube se descarga Koobface, que luego de infectar el equipo descarga otros códigos maliciosos diseñados cada uno de ellos para propósitos particulares (romper captchas, robar contraseñas almacenada en el sistema, convertir la PC en un zombi, crear un Proxy, instalar rogue, entre otros).

Campaña de infección de Koobface

Como podemos apreciar, koobface se encarga de descargar cada una de las piezas de malware necesarias para que quienes se encuentran detrás continúen alimentando su economía a través de métodos fraudulentos y delictivos, transformando cada una de las computadoras infectadas en parte activa de su botnet que, en este caso, se reportan al C&C (Comando y Control) a determinada dirección IP establecida durante el proceso de infección por intermedio de un ataque de pharming local.

Para el bienestar de los usuarios que confían en la protección proactiva que ofrecen los productos de ESET, todas las amenazas que forman parte de esta campaña de Koobface son detectadas de forma temprana.

Jorge Mieres
Analista de Seguridad

Autor , ESET

Síguenos