por Rika Joi Gregorio (Threat Response Engineer)

Conforme más países se unen a la búsqueda del desaparecido vuelo de Malaysia Airlines 370, los cibercriminales utilizan esta noticia tan comentada para propagar diferentes amenazas on line.

Una de ellas, que creemos se está extendiendo a través del correo electrónico, contiene un falso video sobre el vuelo. Supuestamente es un video de cinco minutos sobre MH70 llamado Malaysian Airlines MH370 5m video.exe. En realidad, es un backdoor detectado como BKDR_OTOPROXY.WR. Como en la mayoría de los backdoors, este malware permite a un atacante remoto ejecutar varios comandos en el sistema, incluidos los de descargar y ejecutar archivos desde sus servidores y recoger información del sistema.

Este backdoor tiene algo de inusual. Su servidor de comando y control (C & C) www-DPMC dynssl-com (sustituir guiones con puntos) fue observado por otros investigadores de seguridad en octubre del año pasado por estar relacionado con un ataque dirigido. No es habitual que un ataque dirigido comparta la misma infraestructura que una campaña mayor de ciberdelincuencia «convencional», pero que parece ser que es el caso aquí. Actualmente no tenemos ninguna información de que este backdoor en particular esté siendo utilizado en los ataques dirigidos.

También descubrimos estafas que se aprovechan de la tragedia. Una de estas hace uso de las falsas noticias de que el avión desaparecido ha sido encontrado en el mar. Los usuarios que hacen clic en el enlace son dirigidos a una página web que imita el diseño de Facebook. Este site cuenta con un vídeo embebido, supuestamente del descubrimiento del avión desaparecido. Al hacer clic en cualquier parte de la página se abre otra página con un falso video sobre la secuela de la película Avatar.

1

1. Site malicioso con el «video» embebido
Cuando el usuario hace clic en cualquiera de estos videos, se le pide compartir con sus seguidores de redes sociales antes de poder verlo. El video está restringido a menos que se comparta. Después de compartir, el usuario está obligado a verificar su edad, completando un test. Estas pruebas son en realidad una encuesta estafa. Estas estafas solicitan a los usuarios responder a múltiples encuestas a cambio de algo (en este caso, un supuesto video) que en realidad no existe. El feedback de Trend Micro Smart Protection Network indica que el 32% de los usuarios que accede a esta página se encuentra en América del Norte y más del 40% en Asia-Pacífico.

Otra encuesta estafa consiste en un site que imita el diseño de YouTube para presentar otro video del «descubrimiento» del avión desaparecido. Al igual que el anterior, se requiere que los usuarios compartan el video y completen un  «test» antes de poder verlo. Una vez más, este test lleva a un site de encuesta falso.

2
2. Otro site promocionando un «video» de última hora

La actualidad y la actualización de las noticias se han convertido en un cebo de la ingeniería social de los delincuentes cibernéticos. Lamentablementea esto ocurre con frecuencia– sucesos como el terremoto de Tohoku, la maratón de Boston y el tifón Haiyan han servido ​​para difundir diversas amenazas.

Aconsejamos a los usuarios confiar en los sites de noticias de buena reputación y de confianza para obtener información sobre acontecimientos actuales, en lugar de a través de correos electrónicos o de sites de redes sociales. Trend Micro detecta y bloquea todas las amenazas relacionadas con estos incidentes.

Con ideas adicionales de Maela Angeles, Ruby Santos e Isaac Velásquez.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.