Hoy en día existen cada vez mas servicios online que nos permiten hacer tareas desde la web que antes solo podíamos realizar desde nuestras computadoras. Tareas como la edición de archivos de texto, presentaciones y hasta el almacenamiento de archivos personales en línea, están entre estos servicios disponibles. Los creadores de malware no desaprovechan ninguna oportunidad que se les presente, y es por ello que en el post de hoy hablaremos acerca de un código maliciosos que se hace pasar como uno de estos servicios.

En esta oportunidad, analizaremos un malware detectado por ESET NOD32 Antivirus como el troyano NSIS/TrojanDownloader.Agent.NIA. Al analizar esta muestra en particular, nos damos cuenta que no se encuentra empaquetada, sino que es un ejecutable auto extraíble. Según ProtectionID, el instalador utilizado para crear el archivo auto extraible es Nullsoft SFX Setup v2.44:

Esta programa simula ser una aplicación portable, del conocido sitio para escuchar música online Grooveshark. Al ser ejecutado, este código malicioso instala la aplicación que  reproduce el sitio de Grooveshark y sin que el usuario lo note, descarga 2 muestras, una de las cuales podemos ver cómo es bloqueada su descarga:

Esta muestra descargada llamada a0.exe, también es detectada como Win32/Adware.GabPath.CH. La ventana principal de la aplicación, como vemos, es una reproducción del sitio Grooveshark pero en vez de abrirlo en un navegador se puede visualizar en una ventana independiente. También vemos la detección de una DLL perteneciente al adware:


En muchos lugares como empresas o sitios públicos con Wifi, generalmente las direcciones de sitios de streaming se encuentran bloqueados por cuestiones de seguridad, y por cuestiones de saturación de la red ya que consumen mucho ancho de banda. Esta amenaza es distribuida como una forma de saltearse esas restricciones. Un usuario desprevenido descarga esta amenaza con creencia que va a poder hacer uso de sitios restringidos, la instala y cuando se da cuenta que no funciona como ellos esperaban, ya es muy tarde. Como el programa se conecta al sitio verdadero, igualmente sera bloqueada, sin importar que se acceda a la pagina desde otro lugar que no sea el navegador. Desde el Laboratorio de Análisis e Investigación de ESET Latinoamerica, desaconsejamos el uso de aplicaciones o medidas que eliminen o digan eliminar esas restricciones.

El objetivo principal de este malware es la instalación de Adware y el robo de información, como podemos ver que tambien es detectado.

Tal cual vimos en la imagen anterior, se realiza la conexión a un servidor remoto, al cual le envía datos de la maquina infectada como versión de Windows, versión del Service Pack, dirección MAC, etc.

Como venimos diciendo en posts anteriores, los creadores de malware inventan nuevas formas de propagar sus códigos maliciosos. En esta oportunidad la forma de propagación es bastante interesante y novedosa. Anteriormente hablamos de reproductores multimedia falsos que también propagaban malware. En esta oportunidad le toco a un sitio de reproducción de música online. En el futuro ya veremos con que nuevas formas de propagación nos sorprenderán. Afortunadamente teniendo nuestro antivirus actualizado e informándonos día a día de las amenazas que suceden, podemos estar prevenidos y preparados para identificar una amenaza antes que sea demasiado tarde.

Juan Esteban Forgia
Malware Analyst