ESET, compañía líder en detección proactiva de amenazas informáticas, nos comparte la siguiente información sobre actividad BOTNET en las redes de Windows Live Messenger (Messenger) y Facebook Chat en América Latina.
El uso de noticias o personalidades famosas son algunas de las excusas más utilizadas por los cibercriminales para propagar sus ataques a través de la red. ESET ha detectado una amenaza que se está propagando en la región de Latinoamérica mediante mensajes en el chat de Facebook y Windows Live Messenger con un enlace a supuestas fotos de Hugo Chávez, el presidente venezolano en estado de agonía. La realidad es que se trata de un código malicioso que, además de utilizar estos canales de comunicación como vía de propagación, una vez infectado el equipo roba credenciales de acceso a las redes sociales y realiza un ataque de phishing a distintos bancos de la región.
En el seguimiento de una botnet latinoamericana diseñada con un código malicioso detectado por ESET NOD32 Antivirus como Win32/Dorkbot, se ha detectado que los equipos zombis lanzaron una nueva campaña de propagación con los mensajes anteriormente indicados. En la siguiente imagen, se puede observar cómo el equipo zombi recibe las órdenes para comenzar a propagar por el chat de Facebook (comando http.set) y por Messenger (msn.set) el siguiente mensaje: “esta foto de hugo chavez agonizando es realmente impactante http://[ELIMINADO]/IMG00359268.JPG XD”.
Cuando el usuario cae víctima del engaño y hace clic en el enlace, realiza la descarga de un archivo ejecutable y al intentar abrirlo infecta su sistema. A partir de ese momento el equipo infectado se comunicará con el Centro de Comando y Control de la red BOTNET (a través del protocolo IRC) y queda a espera de recibir órdenes. En campañas anteriores de este ataque se utilizaron mensajes asociados a imágenes de la cantante Jennifer López propagando el mismo código malicioso.
En la captura anterior se resalta en amarillo el comando para propagar el ataque en el mensajero de Microsoft y en verde para hacerlo a través de Facebook. Los comandos que se reciben de manera remota le permiten al atacante definir mensajes para propagar la amenaza a través de estos servicios. Cuando el sistema infectado se conecta a sitios como Facebook o a Windows Live Messenger, se envían mensajes a todos los contactos del usuario con un enlace al código malicioso.
Una vez que un equipo está infectado, no solo recibirá comandos para propagar la amenaza, sino también afectará al usuario directamente, ya que la BOTNET posee comandos para robar credenciales de Facebook, Gmail, Hotmail y otros tantos servicios en línea. Es decir, que cada vez que el usuario se conecte, sus datos de acceso serán enviados al delincuente. Por otro lado, en este caso particular también el equipo al infectarse se descarga un listado de direcciones URL con cinco bancos de Chile y seis bancos de Perú, por lo que cada vez que el usuario se conecte a estos dominios, también serán enviadas las credenciales de acceso al home banking al atacante.
Este tipo de ataques informáticos remarcan las tendencias que veremos para la región de Latinoamérica en este 2012: la utilización de técnicas de ingeniería social para la propagación de códigos maliciosos y el robo de información. Con el objetivo de protegerse de este tipo de ataques, los usuarios deben estar protegidos con una solución antivirus y considerar las buenas prácticas para navegar en Internet. Aquellos usuarios que detecten que su sistema se encuentra infectado con esta amenaza, les recomendamos cambiar las contraseñas de sus correos y redes sociales de inmediato.
Navega en internet, participa en redes sociales, chequea mails y comparte tus fotos y archivos importantes, has compras online sin preocuparte por el malware y los hackers; te invitamos a evalúar gratuitamente por 30 días ESET NOD32 Antivirus o ESET Smart Security.
Con información del post “Botnets en Latinoamérica – Campañas de propagación en el chat de Facebook y Messenger” redactado por Pablo Ramos, Especialista en Awareness & Research de ESET Latinoamérica.
Sitio oficial de ESET: http://eset-la.com