Desofuscando un TrojanClicker


Un Troyano Clicker es aquel que permite realizar clic en sitios de publicidad para que el creador de la misma obtenga un beneficio de cada clic realizado.

Por supuesto esta acción se realiza sin el conocimiento ni consentimiento del usuario y su implementación puede llevarse a cabo de distintas maneras:

* el usuario se infecta con un troyano (archivo ejecutable) y el mismo se encarga de realizar una conexión a sitios específicos cada cierto tiempo;
* el usuario visualiza una página web conteniendo un script oculto que hace el llamado a la página de publicidad;
* el usuario recibe un correo (o un mensaje por un mensajero) con una dirección web y al ingresar se cumple el caso anterior;
* el usuario recibe un correo con un archivo HTML adjunto. Al abrirlo se cumplen los casos anteriores.

Este último caso es el que paso a analizar a continuación, en donde se recibe un archivo HTML con supuestos detalles de un tema en particular:





Al descargar el archivo adjunto y analizarlo se puede ver el siguiente código Javascript ofuscado, al parecer con comando inentendibles:



Aunque ese código parezca algo complejo, puede desofuscarse para comprender que se intenta hacer con el resultado:



En la primera función del mismo se tiene una rutina de “descifrado” (muy sencilla) y en las siguientes líneas se llama a esa rutina para desofuscar el código que realmente se ejecuta en el explorador del usuario, al abrir el archivo.

Como puede verse, al final se crean dos frames invocando a un sitio money[eliminado].com en el cual se aloja la publicidad de la cual es objeto esta amenaza.

La ofuscación en general, si bien puede parecer compleja, muchas veces no es más que el cambio de un caracter por otro o la utilización de rutinas sencillas para que el usuario no comprenda lo que está viendo. Si se dedica cierto tiempo no se tarda en entender las rutinas y sus objetivos.


FUENTE