Malware en imágenes

0

Los spammers difunden su malware activamente, mediante notificaciones falsas en nombre de distintas organizaciones: bancarias, benéficas, servicios varios, etc. El arsenal de trucos está en constante crecimiento. En particular, se han constantado un crecimiento -en los últimos años- de envíos masivos de emails en inglés o alemán, en los que los atacantes intentan ocultar malware dentro de imágenes y fotografías.

En Octubre, los atacantes enviaron notificaciones falsas afirmando ser de T-Mobile, operador de telefonía en Alemania, en el que se decía a los usuario que tenían un MMS pendiente de visualizar. Para hacer que el correo pareciera legítimo, el campo “emisor” contenía el dominio real de la empresa, aunque no había sido enviado desde la misma. Simplemente se cambiaba en apariencia. El cuerpo del mensaje contenía un teléfono de contacto (del emisor del MMS supuestamente) y algo de información general sobre envío de Mensajes multimedia.

La supuesta fotografía llamada “23-10-2013 13_64_09.jpeg.exe” no estaba en el cuerpo del email, sino en el archivo adjunto “23-10-2013 43_69_10.zip“. Los scammers tenían la esperanza de que usando el popular formato JPEG en el nombre, engañarían a muchos usuarios aunque la extensión real fuea la temida .EXE

Algunos antivirus detectan el ejecutable como Backdoor.Win32.Androm. Permite, una vez en el sistema, que el dueño ejecute comandos, como descargar y ejecutar otros tipos de malware sin el conocimiento del usuario.

Fotografía con malware

Ya en Noviembre, los spammers usaron Instagram (popular herramienta para compartir audio/video) para difundir emails maliciosos. Se enviaron notificaciones falsas en nombre de este servicio, que informaban a los usuarios de que sus fotos se habían “colgado” en Instagram.

Para ver la imágen, se les pedía abrir el archivo comprimido adjunto, que supuestamente contenía el archivo “Photo DIG9048599868.jpeg.exe“. En realidad se trataba del malware: Trojan.Win32.Neurevt, un Bot multifuncional que roba datos almacenados en Navegadores, como cookies y contraseñas. nombres de usuario e incluso códigos de juegos.

Además, se usaba para descargar e instalar otros programas maliciosos al PC de la víctima, así como crear ataques DDoS (Denegación de Servicio) y formar parte de Botnets. Una de las herramientas específicas del Bot le permitía desactivar algunas soluciones de seguridad, pudiendo bloquear la ejecución del antivirus, desactivar Windows Update o prevenir que el usuario visite páginas web de empresas de antivirus.

Fotografía con malware - 2

En Noviembre, también se registró otro truco, pero esta vez no se trataba de intentar suplantar la imagen de una compañía conocida. Los emails incluídos en este envío masivo imitaban la correspondencia personal entre dos amigos intercambiando fotos privadas. Las intrigantes cabeceras incluídas, empujaban a los usuarios a visualizar las fotos de sí mismos o de su novia/novio. El cuerpo del texto no era gran cosa: contenía varios emoticonos y palabras sin mucho valor.

Los campos de “emisor” fueron generados automáticamente, aunque simulaban nombres reales de personas. Como en cualquier mailing de este tipo, se incluía una carpeta comprimida con la supuesta imágen/es. Hablamos, realmente, de un ejecutable de doble extensión: Trojan-Downloader.Win32.Agent. Por un lado instala malware, por otro, un falso antivirus que muestra continuamente pop-ups o ventanas emergentes sobre “virus detectados”. ¿Os resulta familiar? Para eliminar el peligro (o dejar de aguantar al antivirus) el usuario se verá forzado a pagar por la versión completa del antivirus falso. El archivo que contiene el instalador del falso antivirus es detectado con el nombre Trojan_FakeAV.Win32.SmartFortress2012.ambh.

El archivo malicioso tras este documento posee la extensión .scr, que es típica de los Salvapantallas de Windows. Ambas (SCR y EXE) extensiones se refieren a archivos ejecutables que pueden ser usados por los spammers para instalar malware en nuestros equipos.

Fotografía con malware - 3

La curiosidad mató al gato (dicho popular). Tenedlo en cuenta en el futuro.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR