Luego de nuestro post de ayer, En estas fiestas: cuidado con las postales, un día más tarde podemos afirmar que el consejo no ha sido en vano. A pesar de que estuvo "dormido" durante medio año, el troyano Waledac vuelve a la carga demostrando que su especialidad es aprovechar acontecimientos especiales . Su última aparición había sido en Julio, para el Día de la Independencia de Estados Unidos, cuando se propagó como falso video de YouTube. En el día de ayer, se ha descubierto la reaparición de este código malicioso, parte de una de las botnets más activas durante 2009, abocada principalmente al envío de spam.

En esta oportunidad, la botnet ha comenzado a envíar mensajes de correo no deseados con asuntos relacionados al fin de año, y provee un enlace a una supuesta postal de salutación por el nuevo año. Algunos de los asuntos que se han estado utilizando (todos en idioma inglés) son:

  • Happy New Year 2010 (en español, "Feliz año nuevo 2010")
  • Welcome 2010! (en español, "¡Bienvenido 2010!")
  • New Year Wishes! (en español, "¡Deseos para este nuevo año!")
  • Happy New Year To U! (en español, "¡Feliz año nuevo para tí!")

Si el usuario accede al enlace, observará una imagen (no muy emocionante) con fuegos artificiales y un deseo de un feliz año nuevo:

Waledac Año Nuevo

A diferencia de los ataques anteriores, en dónde se utilizaban archivos ejecutables camuflados en programas benignos (falsas postales, videos, etc.), en esta ocasión los atacantes han comenzado a utilizar una clásica estrategia de Drive-by-Download. Si se observa el código fuente de la página, se puede observar que posee un script malicioso:

Waledac Año Nuevo

Si el usuario visita el sitio web con una versión vulnerable de Internet Explorer, se pondrá en ejecución algunas de las variantes disponibles a la fecha, todas detectadas proactivamente por ESET NOD32 como JS/Exploit.Pdfka.ASD y como variantes del troyano Win32/Kryptic.BPL.

Recuerden estar atentos y no hacer clic en enlaces de correos que contengan temáticas de este tipo, caso contrario sus sistemas se infectarán.

Aprovechamos la oportunidad, desde el Laboratorio de ESET Latinoamérica, y a pocas horas de empezar un nuevo año, de compartir con ustedes los mejores deseos para el 2010, y uno en particular: que ¡no se infecten!.

Sebastián Bortnik
Analista de Seguridad