El malware se aprovecha de la tragedia del maratón de Boston

Es digno de admiración ver imágenes, leer artículos y escuchar noticias en las que multitud de personas, de forma altruista, tras la tragedia del maratón de Boston del pasado domingo, donan sangre, se ofrecen voluntarios para transportar heridos, atender a gente afectada etc.

Pero el otro lado de la moneda también llama mucho la atención. Y es que, al cabo de pocas horas después de las explosiones, encontrábamos ya cuentas en Twitter que ofrecían un dólar a los usuarios que hicieran retweets de esta noticia. Igualmente, tenemos constancia de cuentas de Facebook que ofrecen también dinero a usuarios que hagan clic en “me gusta” de noticias, fotos, comentarios sobre la tragedia. Todo, a costa de subir en popularidad, número de seguidores etc. Parece mentira con qué frialdad se toman algunos estas situaciones…

Hablando de ataques, malware y amenazas más peligrosas, como siempre, y a raíz de eventos, noticias tristes o celebraciones, los scammers, hackers y cibercriminales en general, aprovechan la situación para “sacar tajada”.

En concreto, un malware llamado KELIHOS surge ahora para intentar afectar a usuarios tras la tragedia de Boston. En realidad este es un gusano que se propaga con facilidad en la red una vez que ha infectado una máquina.

Trend Micro ha estudiado su comportamiento. El ataque llega a la máquina en forma de mensaje de spam. En Estados Unidos, los usuarios afectados recibían correos con estos asuntos: “2 Explosions at Boston Marathon,” “Aftermath to explosion at Boston Marathon,” “Boston Explosion Caught on Video,” y  “Video of Explosion at the Boston Marathon 2013″. Abajo un ejemplo de email spam de este tipo:

Boston_blast_fig1

El mensaje solo contiene un link a http://{BLOCKED}/boston.html. En caso de que el usuario acceda al mismo, entrará a una página web donde podrá ver un vídeo de la tragedia que, supuestamente, procede de Youtube. Aquí una captura de pantalla de la web que contiene el video en cuestión:

Boston_blast_fig2

Simplemente, accediendo al link del vídeo, se lanza la descarga de un ejecutable (http://{BLOCKED}.boston.avi_______.exe .) Si se descarga el fichero (se puede ver en la parte inferior izquierda de la captura de pantalla anterior), entrará en el sistema, directamente, una variante del malware WORM_KELIHOS.

Analizando un poco más el gusano KELIHOS:

Aunque, se observa que los links embebidos en los correos de spam apuntan a direcciones IP aleatorias y diferentes cada vez, Trend Micro ha detectado que estas IPs pertenecen a países acotados: Argentina, Taiwan, Dinamarca, Japón, Ucrania, Rusia y Australia. Y además, se ha descubierto que la URL de descargas redirige la sesión a otros sitios para hacer la descarga de malware, como se puede ver en la captura de logs mostrada a continuación:

Boston_blast_fig3_2

El tamaño de los ficheros y el comportamiento de los mismos al ejecutarse son iguales en todos los casos. Lo único que cambia son los iconos de los ficheros que se descargan y los nombres. El malware actúa ocultando el contenido de los discos extraíbles y los sustituye por un fichero con extensión .LNK que tiene como icono el símbolo de una carpeta.  El malware se ejecuta antes de que se abra la carpeta original. Además, crea ficheros .LNK en dispositivos infectados con el comando C:\WINDOWS\system32\cmd.exe F/c “start %cd%\game.exe. Abajo, una imagen de un disco extraíble infectado:

Boston_blast_fig4

Este gusano tiene la capacidad de robar credenciales de diferentes aplicativos FTP como: LeapFTP, P32bit FTP, FTP Control, SecureFX, BitKinex, FileZilla y muchos más. . Otra acción importante que lleva acabo el malware es la extracción de cuentas de correo del disco local del sistema afectado.

Rápida propagación

A día de hoy, hemos encontrado muchísimas URLs maliciosas a través de Trend Micro™ Smart Protection Network™ relacionadas con las explosions del marathon de Londres. En Estados Unidos es donde más se han encontrado fuentes maliciosas

Boston_blast_fig5Además de la muestra de spam mostrada más arriba, encontramos otras plataformas que han sido explotadas con amenazas similares. Twitters maliciosos y links a plataformas de blogs gratuitos fraudulentos

Boston_blast_fig6

Esto nos demuestra una vez más que el trabajo de los cibercriminales nunca cesa y nunca está completo.

Hemos analizado WORM_KELIHOS.NB y hemos descubierto, también, que este malware intenta robar bitcoins de los usuarios. Recomendamos la lectura de los blogs  Keep You Eye on the Bitcoin

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.