Esta semana recibimos en nuestro laboratorio un correo falso correspondiente a una importante compañía de telefonía celular, que informa sobre la recepción de un supuesto mensaje multimedia (MMS), el cual tiene como objetivo que el usuario descargue un malware. Como se puede apreciar en la imagen, esta campaña está destinada a usuarios chilenos, tal como lo índica el sufijo del enlace .cl.
El falso correo contiene un enlace que redirecciona al usuario al supuesto portal de la compañía para poder acceder al mensaje multimedia. Si se accede al mencionado enlace, se descarga un archivo ejecutable bajo el nombre de DescargaMMS.exe que es detectado por ESET NOD32 Antivirus bajo la firma Win32/Dorkbot.B gusano. La principal sospecha de esto, es que en ningún momento en el correo se menciona que se debe descargar un software para poder acceder al mensaje recibido. Incluso aclara que luego de los 10 días el supuesto mensaje será borrado.
Una vez que se ha descargado el archivo, se puede observar que la amenaza posee un ícono que corresponde a un archivo multimedia para engañar al usuario y persuadirlo a que lo ejecute, cuando en realidad, es un ejecutable (extensión .exe). En caso de ejecutarlo, el sistema del usuario quedará infectado por Dorkbot, y la máquina del usuario pasará a ser un equipo zombie de la conocida botnet.
Está más que claro que Dorkbot sigue evolucionando en diferentes niveles. Puntualmente, la amenaza en sí se ha ido modificando con la finalidad de dificultar la detección por parte del software antivirus. Lo mismo ocurre con las campañas que se utilizan para propagar este malware, las cuales se modifican constantemente y apuntan a diferentes tipos de usuarios en diferentes países. Además, cada variante puede contener un agregado diferente siendo, en este caso, el agregado del ícono de tipo multimedia.
Es fundamental que el usuario esté consciente de que estas campañas son cada vez más frecuentes y existen distintos medios de propagación, desde correos falsos hasta sitios de phishing. Es por esto, que es recomendable que el usuario esté consciente de la existencia de este tipo de correos y tenga conocimiento de como identificarlos. Además como recomendación adicional, nunca se debe acceder a un enlace que no provenga de un sitio de confianza, así como también se debe tener especial cuidado con los enlaces acortados que son moneda corriente dentro de las redes sociales.
Finalmente, se le recomienda al usuario contar con un software antivirus con capacidad de detección proactiva para estar protegidos frente a este tipo de amenazas que evolucionan constantemente.
Fernando Catoira
Analista de Seguridad
