Una vez más, merece la pena detenerse ante un correo basura que está
inundando nuestros buzones (y por extensión, el de algunos millones
más de usuarios) durante estos días. Se trata de un spam que intenta
hacer que la víctima visite una página. Con cierta audacia, pretende
que se descargue un ejecutable y si no, aprovechar fallos para
infectar. Lo destacable en este caso, es la cantidad de variantes que
se están creando y su capacidad para pasar a través de los filtros
antispam.
Desde hace unos días estamos recibiendo decenas de correos con esta
estructura:
Dear Member, Welcome To XXXXXX
Membership Number: 43287941
Login ID: user4579
Temp Password ID: cy209
For security purposes please login and change the temporary Login ID
and Password. Follow this link, or paste it in your browser:
http://XX.XX.XX.XX/
Thank You, Support Department, XXXXXX
Donde XXXXX suele hablar de citas, MP3 o incluso cuidado de perros.
Las contraseñas son también aleatorias. Cuando se visita el enlace a
la dirección IP (situada en EEUU o Corea del Sur, entre otros) aparece
en el navegador una escueta frase:
“If you do not see the Secure Login Window please install our Secure
Login Applet”
Esto apunta a la descarga de applet.exe. Esta misma página, aunque no
se descargue el ejecutable, contiene un script oculto, codificado con
XOR que de forma automática intenta aprovechar vulnerabilidades del
navegador o plugins asociados con exploits conocidos. La potencial
víctima formará parte de las estadísticas de un servidor Mpack.
Una de las curiosidades de este ataque es la variedad de “applet.exe”
que están creando. Con tamaños parecidos, no parecen existir dos
iguales, variando siempre en un intento de pasar desapercibido ante
los antivirus. Sin embargo no lo consigue. Casi el 60% de los
antivirus en VirusTotal.com detectan las variantes como sospechosas o
como malware identificado. Resulta curioso (aunque ya habitual) como
prácticamente ningún motor se pone de acuerdo en su nomenclatura,
llamándolas casi de tantas formas distintas como motores y
detecciones. Parecen resultar ser variantes del storm worm, un virus
mediático del que se habló bastante a comienzos de 2007.
Otro interesante análisis es la capacidad de “no parecer spam” de este
correo sencillo en texto plano. Es puntuado muy bajo en el ratio de
“posibilidades de ser basura” que otorgan los programas antispam, y
se cuela fácilmente en filtros incluso sofisticados. Coexisten en esta
basura dos técnicas contrapuestas. Los spammers están tendiendo a
técnicas efectivas y sofisticadas ayudándose de archivos adjuntos en
PDF e incluso FDF para eludir filtros. Por otro lado, los que intentan
infectar con troyanos han encontrado en la “sencillez” del mensaje y
en el apoyo en servidores web para alojar el malware (eliminando así
el adjunto y el potencial bloqueo de los antivirus), las
características para llegar a sus víctimas.
ssantos@hispasec.com
Más información:
18/06/2007 Malware alojado en dominios .hk: Exprimiendo el correo basura (II)
http://www.hispasec.com/unaaldia/3159
07/06/2007 Nuevas técnicas de spam: Exprimiendo el correo basura
http://www.hispasec.com/unaaldia/3148
22/01/2007 El mediático troyano de la tormenta y las lecciones no aprendidas
http://www.hispasec.com/unaaldia/3012
Deja un comentario