Hace algunos días hemos recibido varias campañas que simulan provenir de una compañía de telefonía, en la que se indica que el usuario ha recibido un mensaje multimedia (MMS). Al abrir el correo, se incluye un enlace para descargar un applet Java malicioso. En este post analizaremos el funcionamiento técnico tras esta campaña.

El correo electrónico tiene como asunto “Te han enviado un mensaje multimedia”, y se incluyen los logos de una compañía de telefonía móvil. Para darle más legitimidad, los atacantes insertan un número de teléfono falso y el mensaje se dirige a la potencial víctima incluyendo la dirección de correo del destinatario en el cuerpo del texto:

Campaña mensaje multimedia MMS

De acuerdo a las cinco campañas que hemos recibido en las últimas dos semanas, la dirección hacia donde apunta el enlace sigue manteniendo la misma nomenclatura. Asimismo, la URL sigue siendo casi idéntica y se incluye el correo del destinatario como parte de la dirección web (otra forma de darle legitimidad). Sin embargo, el dominio ha ido cambiando con el tiempo pese a que todos los servidores continúan funcionando. De los dominios utilizados por esta campaña, se han observado .com,  .in, .info, .org, .name y .net. A continuación, se muestra parte de un script escrito en Perl que ejecutan los cibercriminales en el servidor malicioso para generar y propagar, tanto el mensaje de la campaña “personalizada” como la URL:

Script Perl propaga campaña

Tal como se puede observar, los atacantes utilizan Sendmail para propagar estas campañas. Por otro lado, los cibercriminales también almacenan un archivo hosts malicioso que incluye una amplia lista de entidades bancarias chilenas y dominicanas:

Archivo hosts malicioso

Este tipo de archivos hosts maliciosos suelen utilizarse como parte de otros códigos maliciosos que buscan concretar un ataque de pharming local. Asimismo, los atacantes también cuentan con un servicio de análisis de archivos similar a VirusTotal que se encuentra alojado en el servidor malicioso. El objetivo de esto es evitar que las empresas antivirus obtengan las muestras como sucedería con VirusTotal. A continuación, se muestra una captura que lista todas las soluciones utilizadas por los atacantes incluyendo ESET Smart Security 5.2. Cabe notar que la mayoría de los productos se encuentran actualizados al día de hoy (28-05-2013):

Lista antivirus

En estas campañas analizadas, los códigos maliciosos que están siendo propagados son detectados por ESET Smart Security como Win32/Injector.Autoit.JX, Win32/Dorkbot.B, y el applet malicioso como Java/TrojanDownloader.Agent.NGM. Cabe destacar que las campañas de propagación forman parte esencial de la mayoría de los ataques informáticos, pues permiten que los cibercriminales puedan manipular y seducir a los usuarios utilizando Ingeniería Social. En base a lo anterior, hemos descrito casos en donde Dorkbot utilizó una mejorada campaña de propagación y la trágica y amorosa campaña de malware en seis días. Como se pudo observar en este post, los ciberdelincuentes automatizan los procesos de propagación utilizando scripts para obtener una mayor cantidad de víctimas utilizando los menores recursos posibles. Además, analizan constantemente las amenazas creadas para evadir la detección de los productos antivirus.

André Goujon
Especialista de Awareness & Research