Masiva campaña de propagación recluta equipos para una botnet latinoamericana

Publicado hace 135 días por Ivan Herazo en ESET Seguridad Informática

El código malicioso, que se distribuye mediante Facebook y Windows Live Messenger, también  roba credenciales de acceso a redes sociales de los usuarios y realiza ataques de phishing contra entidades bancarias de la región.

Buenos Aires, 05 de enero de 2012 – ESET Latinoamérica anuncia el descubrimiento de una masiva campaña de propagación de malware mediante mensajes de Facebook y Windows Live Messenger que convierte a los equipos infectados en parte de una red botnet y roba a los usuarios los datos de acceso de las redes sociales. Se trata deWin32/Dorkbot, el código malicioso de mayor propagación durante los últimos 6 meses en Latinoamérica, el cual también realiza ataques dephishing contra bancos de la región.

De acuerdo a los reportes del Laboratorio de ESET Latinoamérica, la distribución del malware se inicia con un simple mensaje de Ingeniería Social que despierta la curiosidad de los usuarios y los estimula a hacer click en un enlace, dando paso así la descarga de un archivo ejecutable malicioso. En este caso, los cibercriminales utilizan como cepo supuestas fotos de Hugo Chávez, el presidente de Venezuela, en estado agónico. En campañas anteriores de este ataque se utilizaron mensajes asociados a imágenes de la cantante Jennifer López para propagar el mismo código malicioso.

A partir del momento en que el sistema es infectado, el equipo pasa a formar parte de una red botnet y queda a la espera de recibir órdenes. Entre las capacidades de este código malicioso se encuentra también elrobo de credenciales de Facebook, Gmail, Hotmail, Twitter y PayPal, entre otros servicios en línea.

Los comandos enviados de manera remota a cada equipo zombie integrante de la red le permiten al atacante definir mensajes para propagar la amenaza a través de estos servicios. De este modo, cuando el sistema infectado se conecte a sitios como Facebook o Windows Live Messenger, se enviarán mensajes a todos los contactos del usuario con un enlace al código malicioso, continuando de este modo el ciclo de propagación.

Por otro lado, al producirse la infección, el código malicioso descarga también un listado de direcciones URL con cinco bancos de Chile y seis bancos de Perú, de modo que cada vez que el usuario se conecte a estos dominios estará remitiendo las claves de acceso de su home banking al cibercriminal.

“Este tipo de ataques remarcan aquello que anticipamos en nuestro informeTendencias 2012: la utilización de estrategias de Ingeniería Social continuará en ascenso y el eje de gran parte de los ataques será el robo de información, un activo cada vez más valioso”, aseguró Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.

Para conocer más sobre este caso puede acceder al Blog de Laboratorio:http://blogs.eset-la.com/laboratorio/2012/01/05/botnets-latinoamerica-propagacion-chat-facebook-messenger