A continuación les presentamos una traducción de un texto realizado por David Harley y Pierre-Marc Bureau, el mismo fue publicado en el blog de ESET en inglés. El mismo presenta un análisis provisional acerca el malware conocido como Boonana (el nombre asignado a la nueva variante multi-plataforma de Koobface, de la cual ya hablamos la última semana).

Nuestro análisis parcial de una versión de malware detectada como Java/Boonana.A o como Win32/Boonana.A (dependiendo de cuál es el componente detectado de este ataque multi-plataforma), varían en ciertas características de otros reportes que hemos visto anteriormente.

La diferencia más clara es el mensaje enviado a los contactos del usuario infectado, mediante el uso de Ingeniería Social y un mensaje que realmente capta su atención. En otros reportes (incluyendo el de Randy Abrams hace unos días) se documentó  una versión que utilizaba el mensaje "Is this you in this video?" (en español, ¿Eres tú en este video?) para llevar a los usuarios a través de un enlace a un video de Youtube.

En este caso en particular, el mensaje era más que preocupante:

Como eres uno de mis contactos, pensé en decirte que decidí terminar con mi vida. Por razones que nunca van a ser claras te pido que visites mi video en este sitio. Gracias por haber sido mi amigo :(

El mensaje citado más arriba, ilustra un ejemplo más que particular acerca del arte de la Ingeniería Social, este tipo de mensajes ha estado en la red desde hace ya un tiempo, sin embargo no ha atraído la atención de muchos usuarios como hemos esperado. Puntualmente, el análisis del encabezado perteneciente al archivo binario muestra que fue compilado el primero de marzo. En esa ocasión el mensaje fue enviado a través de un correo electrónico en vez de un mensaje de Facebook.

Sin embargo, el seguimiento de ambos mensajes es el que se indicó en el post anterior: cuando la víctima potencial intenta ver el "video", un mensaje le sugiere que el mismo no puede ser visto si no se instala previamente una aplicación.

Si el truco funciona, el aplet de Java se ejecutará sin problemas en sistemas Windows y OS X, como también podemos confirmar que funciona en Linux. Para los sistemas Windows, sin embargo, se agrega una entrada al registro; mientras que en OS X los archivos se copian a /Library/StartupItems y se crea un script con el nombre OSXUpdates. Según mi entendimiento, el mecanismo utilizado se asemeja un poco a los macro virus utilizados a mediado de los noventa, en donde generalmente se infectaban computadoras Mac como las PC de Windows, aunque el objetivo principal son los equipos con sistemas operativos Windows. En este caso en particular el objetivo es el usuario, no la plataforma. Como he mencionado anteriormente:

Estamos hablando de malware focalizado en Ingeniería Social: su ataque inicial es sobre el usuario, no sobre la plataforma, y en primer instancia no es auto ejecutable. Si nos parece extraño al aparecer el prompt de instalación, el malware no puede cambiar los archivos del sistema por lo que debe permitir el acceso externo sin notificaciones. Por lo tanto, la mayoría del malware (tanto en Windows como en OS X) depende parcial o totalmente de la autorización del usuario para permitir la ejecución del código malicioso.

Mientras que su funcionalidad no es muy diferente, el código no se parece particularmente al de Koobface, motivo por el cual finalmente hemos usado otro nombre como identificador de la firma.

Cuando un equipo es infectado, verifica una lista de 161 dominios. Para cada dominio, el malware realiza una consulta "HTTP HEAD" en búsqueda del archivo applet_hosts.txt. Cuando un dominio responde a la consulta, normalmente envía el código HTTP 300 que resulta ser un enlace que será accedido por el malware. Este comportamiento parece haber sido elegido por el desarrollador del código malicioso, pero el direccionamiento puede haber sido realizado por los dominios que fueron dados de baja desde hace algún tiempo atrás: dicha lista de dominios parece haber sido cargada anteriormente a la creación del malware.

David Harley
Pierre-Marc Bureau