Campañas de malware con Alibaba y los 40 ladrones

Campañas de malware con Alibaba y los 40 ladrones

Como hemos mencionado días atrás, existen herramientas para crear páginas que ayudan a la promoción de supuestos YouTube falsos para infectar usuarios. Si se presta atención al código fuente del HTML generado por esa herramienta, se puede apreciar que la aplicación fue generada (o al menos eso promocionan) por un grupo autodenominado “© 2008 ali

Como hemos mencionado días atrás, existen herramientas para crear páginas que ayudan a la promoción de supuestos YouTube falsos para infectar usuarios. Si se presta atención al código fuente del HTML generado por esa herramienta, se puede apreciar que la aplicación fue generada (o al menos eso promocionan) por un grupo autodenominado “© 2008 ali

Como hemos mencionado días atrás, existen herramientas para crear páginas que ayudan a la promoción de supuestos YouTube falsos para infectar usuarios. Si se presta atención al código fuente del HTML generado por esa herramienta, se puede apreciar que la aplicación fue generada (o al menos eso promocionan) por un grupo autodenominado “© 2008 ali baba & 40 , LLC”.

La creación de esta herramienta dió origen a una nueva campaña masiva de propagación de malware, funcionando sobre diversas plataformas sobre la que se destaca la red social FaceBook:

  • Usuario malintencionado promociona enlaces en la red social a través de sus perfil o en comentarios a otros usuarios
  • Un usuario desprevenido hace clic en el enlace ofrecido y es redirigido a diversos sitios
  • Estos sitios pueden visualizar videos falsos o contener un scripts ofuscados o enviar al usuario a un sitio de descarga de rogue
  • En cualquier caso la página visualizada (en este caso los videos falsos), a través de una vulnerabilidad en alguna aplicación, puede:
    • Descargar archivos PDF, SWF, MP3 manipulados para descargar archivos ejecutables
    • Directamente descargar archivos ejecutables
  • Ejecutar el archivo descargado
  • El usuario nunca se percata de la descarga y de la ejecución del archivo dañino

Las cientos (literalmente) de variantes de archivos maliciosos que actualmente estan participando de esta campaña son detectados por ESET NOD32 como:

  • El gusano de propagación masiva a través de FaceBook es detectado por Heurística como variante de Gusano Win32/Koobface
  • Los scripts ofuscados son detectados genéricamente como JS/Exploit.Pdfk
  • Los troyanos descargados son detectados por Heurística Avanzada como Win32/Agent o como probablemente una variante de Win32/Kryptik.BJ
  • Los archivos PDF descargados son detectados como PDF/Exploit.Pidief

Si bien los diversos perfiles dañinos de FaceBook son controlados y eliminados por la red social, debido a las múltiples formas de promocionar estos videos falsos, seguirán apareciendo nuevas herramientas y formas de crear campañas para infectar usuarios.

Por eso, es fundamental contar con una protección proactiva que detecte cada nueva variante y además se debe actualizar todas las aplicaciones.

Cristian

Discusión