Supuesto mensaje multimedia descarga Dorkbot

Esta semana recibimos en nuestro laboratorio un correo falso correspondiente a una importante compañía de telefonía celular, que informa sobre la recepción de un supuesto mensaje multimedia (MMS), el cual tiene como objetivo que el usuario descargue un malware. Como se puede apreciar en la imagen, esta campaña está destinada a usuarios chilenos, tal como lo índica el sufijo del enlace .cl.

Correo electrónicoEl falso correo contiene un enlace que redirecciona al usuario al supuesto portal de la compañía para poder acceder al mensaje multimedia. Si se accede al mencionado enlace, se descarga un archivo ejecutable bajo el nombre de DescargaMMS.exe que es detectado por ESET NOD32 Antivirus bajo la firma Win32/Dorkbot.B gusano. La principal sospecha de esto, es que en ningún momento en el correo se menciona que se debe descargar un software para poder acceder al mensaje recibido. Incluso aclara que luego de los 10 días el supuesto mensaje será borrado.

Una vez que se ha descargado el archivo, se puede observar que la amenaza posee un ícono que corresponde a un archivo multimedia para engañar al usuario y persuadirlo a que lo ejecute, cuando en realidad, es un ejecutable (extensión .exe). En caso de ejecutarlo, el sistema del usuario quedará infectado por Dorkbot, y la máquina del usuario pasará a ser un equipo zombie de la conocida botnet.

Propiedades del archivo
Está más que claro que Dorkbot sigue evolucionando en diferentes niveles. Puntualmente, la amenaza en sí se ha ido modificando con la finalidad de dificultar la detección por parte del software antivirus. Lo mismo ocurre con las campañas que se utilizan para propagar este malware, las cuales se modifican constantemente y apuntan a diferentes tipos de usuarios en diferentes países. Además, cada variante puede contener un agregado diferente siendo, en este caso, el agregado del ícono de tipo multimedia.

Es fundamental que el usuario esté consciente de que estas campañas son cada vez más frecuentes y existen distintos medios de propagación, desde correos falsos hasta sitios de phishing. Es por esto, que es recomendable que el usuario esté consciente de la existencia de este tipo de correos y tenga conocimiento de como identificarlos. Además como recomendación adicional, nunca se debe acceder a un enlace que no provenga de un sitio de confianza, así como también se debe tener especial cuidado con los enlaces acortados que son moneda corriente dentro de las redes sociales.

Finalmente, se le recomienda al usuario contar con un software antivirus con capacidad de detección proactiva para estar protegidos frente a este tipo de amenazas que evolucionan constantemente.

Fernando Catoira
Analista de Seguridad

Autor , ESET

  • ricardo

    una consulta: :) hay alguna manera de ver en la web, como con eset smart smart security, las actualizaciones de base de firmas de eset mobile security? o por que numero de actualizacion va? porque me figura 3401, y queria saber si era correcto. gracias

  • ricardo

    por cierto, me refiero a eset mobile security ANDROID

  • ricardo

    sí pero en esa web dice 7 mil y pico q es smart Security pc, pero Eset mobile Security Android hay forma ver x q número va?? gracias

    • Fernando Catoira

      Buenas tardes Ricardo. ESET utiliza el mismo motor en todos sus productos. Es por esto que en el sitio web se hace referencia a ESET NOD32 Antivirus. La última versión de firmas de ESET Mobile Security de Android es la 3403 (19 de Abril de 2012) equivalente a la 7073 de los otros productos (Motor NOD32).
      Saludos!

      Fernando

  • ricardo

    sisi coincide!!! gracias! saludos!

Síguenos