En las últimas horas hemos estado informando y actualizando datos sobre la campaña masiva de Koobface y sobre el gusano o gusano Koobface, que se propaga a través de diferentes redes sociales, siendo Facebook uno de sus canales favoritos.

Hemos podido comprobar que Koobface, además de crear una botnet, también está siendo utilizado para propagar troyanos del tipo downloader (descargan otros malware), QHost (modifican el DNS local del sistema afectado) y rogue (simulan ser una aplicación antivirus cuando en realidad es un malware).

Por lo tanto, los objetivos de esta campaña son los siguientes:

  • propagar más malware para mantener más usuarios infectados
  • crear más zombies (equipos infectados), teniendo botnet más grandes que las actuales
  • diversificar el tipo de malware propagado
  • controlar una mayor cantidad de sistemas
  • obtener datos privados e información financiera y bancaria de los usuarios infectados

En este momento además hemos podido identificar las URLs activas desde donde se propaga los rogue Win32/Adware.Antivirus2009.AA y Win32/Adware.SafetyAntiSpyware.A:

  • [ELIMINADO]spam-scan.com
  • [ELIMINADO]spywareexe.com
  • [ELIMINADO]spywaresetupexe.com
  • [ELIMINADO]spywareuses.com
  • [ELIMINADO]spywarewin.com
  • [ELIMINADO]-panel-antivirus-scan.com
  • [ELIMINADO]-protection-software.com
  • [ELIMINADO]zip-antispyware.com
  • [ELIMINADO]antispyware.com
  • [ELIMINADO]-computer-www-scan.com
  • [ELIMINADO]defender-2010.com
  • [ELIMINADO]ntispyware.com
  • [ELIMINADO]-antispyware.com
  • [ELIMINADO]antispyware.com
  • [ELIMINADO]wareremoverz8.com

Esos dominios fueron registrados ayer 7 de abril en la IP [ELIMINADO].117.177.19. Además estos tres dominios fueron registrados en la IP [ELIMINADO].248.168.21:

  • [ELIMINADO]spywarelist.com
  • [ELIMINADO]reserves.com
  • [ELIMINADO]latestversion.com

Por otro lado las distintas versiones de los troyanos mencionados y del gusano Koobface se descargan desde direcciones con el formato htp://SITIO_VULNERADO.com/.sys/?getexe=nombre_del_archivo_ejecutable.

Estos últimos dominios generalmente son sitios reales, cuyos servidores web han sido vulnerados y son utilizados como centro de Comando y Control (C&C) de las botnets formadas por Koobface. En este último caso, se envía y recibe información de controla desde una URL con el formato http://SITIO_VULNERADO.com/.sys/?action=fbgen&v=versión_de_koobface&crc=núumero_de_control. Cada una de los dominios mencionados así como sus IPs son bloqueados por los productos de ESET.

Evidentemente en este ataque y campaña de propagación, los delincuentes han considerado muchas alternativas para que luego que el usuario se infecte le sea difícil salir del ciclo y recuperar su sistema.

Cristian Borghello
Director de Educación