Presentamos una nueva familia de lo que se podría denominar «Ransomware» o «Rogueware». La finalidad de este espécimen, como de tantos otros, es obtener los datos de la tarjeta de crédito de la víctima. Lo que nos ha llamado la atención es la forma tan elaborada de conseguirlo. Hemos realizado un vídeo demostración.
El troyano ha sido denominado por algunas casas antivirus como Dot-Torrent, aunque otras lo introducen en la familia «FakeAlert», «PrivacyProtector» y «Antipiracy «. No es técnicamente novedoso, ni siquiera en su planteamiento. Lo llamativo es la forma tan cuidada de engañar al usuario para que termine pagando por descargar contenido «protegido». Juega brillantemente con el potencial sentimiento de «culpa» de un usuario que comparte contenidos multimedia en la Red. Aprovecha el «miedo» que han inculcado en el usuario organizaciones como la RIAA, MPAA, Copyright Alliance… para pedir dinero y evitar así un ficticio proceso judicial. El troyano se apoyaba en una web (icpp-online.com, actualmente offline) que contenía supuestas noticias que avalaban la existencia del software, informando sobre campañas de concienciación y persecución de los infractores.
En la sociedad americana, el troyano está obteniendo un «éxito» importante, aunque su difusión no es masiva. Hace ya algo más de un mes que está activo, mejorando con diferentes versiones.
Invitamos al lector a visualizar el vídeo alojado en YouTube (5:18 minutos). Si por alguna razón no se visualiza bien, recomendamos reproducirlo a 480p. Este valor se puede modificar desde la barra de desplazamiento de YouTube:
Curiosidades:
* El troyano puede llegar al usuario por cualquier medio: vulnerabilidad, ejecución directa, etc. Simula ser un programa de descarga de archivos torrent. Por tanto, el usuario será más tarde acusado de una acción «real»: efectivamente, ha descargado contenido «protegido» por medios «ilegales».
* Descarga en tiempo real un componente binario que va modificando sus funcionalidades.
* Contiene su propio desinstalador que funciona correctamente cuando se introduce un código válido.
* Se ejecuta antes de Explorer.exe (de que aparezca el escritorio) así que para usuarios medios que no sepan cargar la lista de tareas y lanzar el escritorio, no hay forma de «escapar».
* Utiliza datos reales que muestra «online» como la dirección IP y una consulta whois a la dirección IP.
* En algunas versiones, busca archivos .torrent por todo el disco duro, los muestra en la pantalla principal y pide una cantidad por cada uno de ellos, en concepto de concienciación por descarga.
* El trabajo estético y de traducción, es simplemente excelente.
* Valida los datos introducidos. De esta forma se controla que, por ejemplo, no se introduzca un número de tarjeta inválido.
* Si se decide no pagar y «pasar el caso a los tribunales», finalmente pide los datos y el correo electrónico, que irán a parar al atacante, pero no desbloquea el sistema.
* La opción «Enter a previously purchased license code» que se observa en la parte inferior derecha, permite introducir efectivamente un código que desinstala el programa. En algunas versiones es RFHM2 TPX47 YD6RT H4KDM, y esto desinstalará por completo el troyano (aunque aun así habrá que ejecutar a mano Explorer.exe).
ssantos@hispasec.com
Más información:
http://www.virustotal.com/analisis/87c90cc597be19ec5be98bae0fa8e13810e93475f1b636655e639e876fb56a87-1277721695
http://www.virustotal.com/analisis/696a897a77758d931ca436ac1cbe6426adf0666d4c991c08bcb77d4de7bc4193-1276771890
Deja un comentario