Skypemageddon

0

Hay una nueva campaña de dispersión de malware a través de Skype. Está activa y golpeando numerosos lugares.

La via de infección es en este caso la ingeniería social, mediante el empleo de aplicaciones de Skype infectadas que envían mensajes a otros contactos, por ejemplo:

“No creo que pueda volver a dormir después de ver esta foto” http://www.goo.gl/XXXXX?image=IMG0540250-JPG

“Dime que te parece esta imagen que acabo de retocar” http://www.goo.gl/XXXXX?image=IMG0540250-JPG

El servicio de urls cortas Goo.gl muestra que hasta el momento hay más de 170000 clicks sobre la url maliciosa y, teniendo en cuenta que hace una hora había 160000 pulsaciones, significa que se producen unos 10000 accesos a esa url cada hora. Esto muestra que la campaña está muy activa, con 2,7 clicks por segundo!

La mayor parte de las víctimas proceden de Ucrania y Rusia: 

Entre otros países con altos índices de infección tenemos a: China, Italia, Bulgaria y Taiwan.

La campaña parece estar activa desde el pasado 1 de Marzo, al menos es la fecha en que la url abreviada de Google fué creada. Sin embargo se ha hecho más fuerte en las últimas horas. Este gráfico muestra su evolución en número de clicks para las últimas 2 horas: 

El servicio VirusTotal muestra que es detectado por 12 de los 46 productos antivirus existentes. Kaspersky, por ejemplo, detecta esta muestra maliciosa con el nombre: UDS:DangerousObject.Multi.Generic

Hablamos del malware en sí mismo. Está escrito en Visual Basic, Las subrutinas están descritas con nombres humanos como Lenka, Pier, Christiane, Ryann, etc. Las expresiones que os mostramos a continuación son parte de la campaña de ingeniería social desarrollada en Skype(las muestras están en inglés pero se han detectado varios idiomas):

hahaha
Is this you?
Picture of you?
Tell me what you think of this picture
This is the funniest picture ever!
I cant believe I still have this picture
Someone showed me your picture
Your photo isn’t really that great
I love your picture!
What do you think of my new hair?
You look so beautiful on this picture
You should take a look at this picture
Take a look at my new picture please
What you think of this picture?
Should I upload this picture on facebook?
Someone told me it’s your picture

Este malware es capaz de expandirse usando medios USB extraíbles también. El malware usa el protocolo IRC para comunicarse con su C&C o “centro de control” como parte de una “botnet” una vez completada la infección. La cadena que dirige a Visual Basic en esta muestra es C:UserssDesktopMust Use Different NameHqwKHavivah.vbp.

Una última imagen interesante: 

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR