En el día de ayer, un usuario nos reportó una campaña de propagación de Dorkbot un tanto particular. Comenzaremos por el principio analizando cómo llega y de qué forma se diferencia de otros casos de propagación de amenazas de las cuales se han escrito en este blog. A través de un correo electrónico que simula provenir de una conocida compañía de telefonía móvil, se le afirma al destinatario que ha resultado ganador de un sorteo por haber elegido a esta empresa como la mejor de su rubro. En el mensaje también se menciona que el premio es un iPhone 4 y que la persona debe ingresar a un sitio para reclamar la falsa recompensa. Hasta aquí, nada fuera de lo común, sin embargo, como se puede apreciar en la siguiente captura, un elemento sutil aunque diferenciador, es que como técnica de Ingeniería Social, el texto comienza saludando a la potencial víctima y mencionando su dirección de correo como forma de personalizar el ataque y generar mayor confianza.

Falso correo que recibe la víctima

En el mensaje también se menciona un código numérico que el usuario debe ingresar en ese sitio web. Si la persona no es precavida y sigue dicho enlace, estará entrando a una página que le solicitará en primera instancia, el número que recibió en el correo para solicitar el premio. Cabe notar que el sitio de fondo presenta un formulario falso como parte del engaño. Aunque ambos elementos caracterizan a este fraude y buscan generar aún más confianza de parte de la víctima, nos llamó la atención que se incluyera también, un código QR dentro de esta campaña de propagación. Al analizarlo pudimos determinar que en este caso, no representa un peligro para el usuario puesto que el código QR dirige hacia el sitio de Wikipedia en español. En base a esto inferimos que los ciberdelincuentes lo están utilizando solo como parte del diseño del ataque considerando que el falso concurso tiene relación con un teléfono inteligente. No obstante, es importante recordar que los códigos QR sí han sido utilizados en el pasado para propagar códigos maliciosos diseñado para Android aunque en este caso no es así. Sobre esto, se puede consultar el post Códigos QR y su relación con el malware.

Sitio falso que contiene código QR

Si el usuario ingresa los dígitos que recibió en el correo o cualquier otro número aleatorio, se le afirma falsamente que debe instalar un software de “comprobación” para poder continuar. Allí se inicia la descarga del archivo “Ganadores.exe” que es detectado por ESET NOD32 Antivirus como Win32/Dorkbot.B. Como pudo observarse, este caso de propagación incluye elementos novedosos como un código QR de “adorno”, un formulario falso, el ingreso innecesario de números, entre otras cosas. Siguiendo esta línea, a través del tiempo hemos podido observar diversas campañas de propagación relacionadas a Dorkbot e incluso, una variante que utiliza Skype para obtener nuevas víctimas. Por lo mismo, dentro de lo que es América Latina, este gusano ha logrado reclutar una gran cantidad de computadoras zombis tal como se describe en el post Infografía dorkbot: más de 80.000 bots en Latinoamérica. Para todos aquellos que se encuentren infectados con esta amenaza, les recomendamos utilizar la herramienta gratuita de limpieza automática de Dorkbot. Para finalizar podemos concluir que los cibercriminales continúan activamente mejorando las campañas de propagación a través de la Ingeniería Social, por lo tanto, es importante que todas las personas sean cuidadosas y duden de cualquier mensaje que solicite información u ofrezca algún premio sin que se hayan inscrito previamente, en un concurso legítimo.

André Goujon
Especialista de Awareness & Research