El grupo Miranda! como excusa para propagar malware

En muchas ocasiones hemos mencionado que cualquier excusa es viable para que los desarrolladores de malware propaguen sus amenazas, valiéndose siempre de alguna metodología de engaño.

Es así que nuestro Laboratorio de Análisis e investigación ha encontrado una página web supuestamente del grupo pop argentino Miranda! exclusivamente creada para propagar un código malicioso. A continuación podemos ver una captura de la web.

Como vemos en la captura, la página presenta un enlace incrustado con la leyenda “Has click aquí para descargar“, ofreciendo supuestamente la descarga del último disco de Miranda!. Sin embargo, el usuario desprevenido que haga clic sobre dicho enlace estará descargando un archivo ejecutable con el nombre “Esimposible-miranda.mp3.exe“, detectado por ESET NOD32 bajo el nombre de Win32/VB.OQE troyano.

Esta amenaza se encuentra diseñada para comprometer la privacidad ya que se encarga de monitorear las actividades del usuario y realizar otras acciones propias de todo tipo de malware como por ejemplo crear claves maliciosas en el registro del sistema para asegurar su ejecución en cada inicio del equipo.

Vale la pena remarcar que el desarrollador está haciendo uso de una de las técnicas más triviales: la doble extensión. De esta manera logra disfrazar el malware intentando hacerlo pasar como un archivo del tipo .mp3 cuando en realidad no lo es.

En consecuencia, además de contar con una solución de seguridad antimalware proactiva como las ofrecidas por ESET, es importante configurar cuestiones básicas en el sistema operativo; en este caso, la visualización de las extensiones de los archivos.

Actualización noviembre 30, 2009: Este código malicioso ya no se propaga. Desde el Laboratorio de Análisis e  Investigación de ESET Latinoamérica hemos podido gestionar la baja del redireccionamiento a la descarga del archivo dañino.

Jorge