Propagación de malware vía correos legítimos

En las últimas horas nuestro Laboratorio ha recibido una alta cantidad de correos provenientes de cuentas reales y conteniendo enlaces a archivos dañinos. Los correos provienen de cuentas legítimas (no spoofeadas) de usuarios de distintos servicios de webmail (como Hotmail, Yahoo! y GMail).

El correo (y su encabezado) que llega puede lucir como el siguiente:



Al intentar ver el archivo (en este caso un supuesto curriculum), se ingresa a un sitio de alojamiento gratuito de archivos:



Al descargar este archivo en realidad se está descargando un malware que ESET NOD32 detecta como Win32/TrojanDownloader.Banload.QPR.



Para tener una idea de la cantidad de usuarios que han descargado la amenaza se pueden ver las estadísticas de descargas de este archivo en particular:



Como puede verse, en un día el archivo ha sido descargado 12.945 veces (hasta el momento), lo cual hace pensar en la gran cantidad de posibles usuarios infectados, si los mismos no disponían de una protección adecuada.

Es fundamental remarcar que los correos son reales debido a que esto implica que usuarios malintencionados han tenido acceso a los datos de la cuenta (usuario y contraseña) de los correos comprometidos.

El Laboratorio de ESET se puso en contacto con usuarios dueños de las cuentas comprometidas y se le solicitó que cambiarán la contraseña de su correo. Como resultado el envío de correos se detuvo inmediatamente.

Si bien se desconoce la forma en que estos datos pudieron ser obtenidos, la masividad del caso hace pensar en un método automático para obtenerlas como puede ser uso de keylogger o el ingreso de estos datos, por parte de la víctima, en servicios no oficiales (foros, redes sociales, sitios que brindan información de bloqueo en los mensajeros, etc.), los cuales podrían robar estos datos para comercializarlos posteriormente.

Actualización 19:00 hs: en propagación de malware vía correos legítimos II analizamos el funcionamiento y la forma en como este malware roba usuarios y contraseñas de posibles nuevas víctimas.

FUENTE

Propagación de malware vía correos legítimos (II)

Luego de informar desde el primer momento de esta nueva metodología de propagación de malware a través de corrreos electrónicos, hemos analizado la forma en que los creadores de malware están adquiriendo las direcciones de correo desde las cuales envían más programas dañinos.

Al descargar el troyano downloader, el mismo permite la descarga de un gusano que ESET NOD32 detecta como Win32/Banwor.NBF, un password stealer desarrollado en Delphi y que, como su nombre lo indica, es utilizado para obtener usuarios y contraseñas para luego enviarlas al creador del malware.

El troyano se conecta al sitio http : // www.nokarv[eliminado].net/gbp[variable].js y en realidad este archivo .js es el archivo ejecutable del nuevo gusano ladrón de contraseñas.

Como se indicó anteriormente, la gran cantidad de usuarios engañados e infectados hace pensar que esta técnica podría seguir siendo aplicada, ya que al seguir obteniéndose usuarios y contraseñas, le permite al creador del malware seguir propagando sus amenazas.

Debido a que los creadores de malware han cometido un error al publicar el archivo dañino, es posible conocer la cantidad real de malware propagado en las estadísticas del hosting:



Como puede verse en apenas seis horas la cantidad de infectados continúa creciendo y en este momento es fundamental contar con una protección que detecte todas las amenazas propagadas y además desconfiar de cualquier correo que por ejemplo contenga mensajes poco comunes o en idiomas no manejados normalmente por el usuario.

Luego de la infección los datos recolectados son enviados al delincuente de la siguiente manera:



En este caso la cantidad de datos recolectados sirve para seguir infectando otros usuarios a través del envío de más correos.

FUENTE

Propagación de malware vía correos legítimos (III)


Luego de la repercusión de I y II y, ante la duda expresada por correo de algunos usuarios, paso a aclarar algunos punto fundamentales de esta amenaza:

1. Que el correo sea enviado por usuarios legítimos significa que los correos proceden de cuentas de Hotmail, Yahoo! o GMail de cualquier usuario (como las suyas o las mías) y que los correos no son simulados sino que realmente provienen de esas cuentas debido a que el delincuente tiene el usuario y la clave de las mismas. Por eso, cambiar la clave del correo es la solución en este caso.
2. Si Ud. ingresó sus datos en sitios dudosos o sospecha que su usuario y contraseña puede haber sido robados, cambie la contraseña de su correo inmediatamente.
3. La cantidad de infecciones sigue creciendo llegando en este momento a 30.000 descargas del malware en menos de 48 hs. Esto puede deberse a que actualmente muy pocos antivirus detectan la amenaza y que además existen más cuentas robadas continuamente, lo que ayuda a alimentar este círculo vicioso.
4. Luego de instalarse, el gusano detectado por ESET NOD32 como Banwor roba sistemáticamente usuarios y contraseñas de correos y cuentas bancarias y actualmente existen tres variantes del mismo, que están siendo utilizados en este ataque. Los archivos .dll y .exe residen en la siguiente carpeta:





Estos archivos corresponden a:

* gbiehdst.dll -> Win32/Banwor.NBD
* gbplib.dll y gboosv.exe -> Win32/Banwor.NBF
* gbppdist.dll -> Win32/Banwor.NBG

5. La modificación llevada a cabo en el sistema puede verse claramente mediante ESET SysInspector en donde diversos archivos del sistema son inyectados por el gusano para mantener el control del mismo:



Nuevamente, cuide sus datos personales, cambie su contraseña, verifique su sistema con un antivirus con capacidades proactivas y revise las carpetas de su sistema en busca de archivos sospechosos.

Actualización 18:00 Hs: Los archivos mencionados anteriormente corresponden a “Plugins” del malware, los cuales roban datos de cuentas diferentes bancos de Brasil, país de cual proviene Banwor.


FUENTE