Log in
logo

COUNTERING CYBER THREATS

barra-separadora

Durante la tarde del lunes de la semana pasada, miles de usuarios comenzaron a recibir distintos mensajes de sus contactos con un enlace que suponía ser una foto que los involucraba, pero que en realidad propagan un código malicioso reconocido como una variante de Win32/Gapz.E en realidad perteneciente a una familia de amenazas conocida como Win32/PowerLoader.A. Este código malicioso, infectaba el equipo y comenzaba a propagar los mismos mensajes con los que el usuario se infecto a todos sus contactos, su detección se asocia a la utilización de un avanzado packer conocido como Power Loader, que es capaz de saltar las protecciones del sistema e inyectar un dropper directamente en uno de los procesos principales del sistema: explorer.exe.

A medida que las horas pasaron, distintos enlaces acortados por goo.gl recibieron varios miles de clics, elevando los niveles de alerta y preocupando a los usuarios acerca de las funcionalidades maliciosas que esta amenaza podría tener. En unas pocas horas, la cantidad de clics llego casi a los 500.000 y durante este primer período el 67% de las detecciones se encontraron en América Latina. Repercutiendo en distintos medios de comunicación y redes sociales.

Durante el segundo día de actividad se actualizaron los módulos de propagación de la amenaza, incorporando la utilización de otros acortadores de URL como Bit.ly o Fur.ly como algunos ejemplos, lo que continuó atrayendo usuarios y que, engañados a través de esta técnica de Ingeniería Social descargaran actualizaciones de esta amenaza elevando la cantidad de hasta llegar a más de 750.00 clics y contando, en los últimos días continúan las actualizaciones de los códigos maliciosos pero la cantidad de usuarios que están cayendo en el engaño ha disminuido.

Acortadores, efectividad y distribución geográfica

Los cambios en los acortadores de URL parecían una técnica de los cibercriminales para mantener su efectividad en la propagación, y a medida que continúo la emisión de comandos por parte del panel de control ESET reveló más de 30 direcciones URL diferentes acortadas con varios servicios. Del total de direcciones utilizadas, 12 de ellas habían sido acortadas con el servicio provisto por Google (goo.gl), cuyos enlaces dirigían a un código malicioso detectado como Win32/Rodpicom.C, este gusano es el responsable de la propagación de los mensajes a través de Skype, Gtalk y otros servicios de mensajería instantánea.

Si bien al inicio de esta campaña de propagación de código dañino, la mayoría de los usuarios afectados correspondían a América Latina, la variante de Win32/Rodpicom utilizada es capaz de identificar el idioma del sistema y utilizarlo para enviar el mensaje a los contactos del usuario. Esta capacidad fue la responsable de que la dispersión de este código malicioso sea tan masiva y que los reportes se incrementaran luego en Europa y otros continentes. Algunos de los países más afectados fueron Rusia, Alemania, Italia, Brasil, y Colombia entre otros, tal como lo habíamos reportado.

Laboratorio ESET (28/05/2013)

Más información

Go back

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración