Anoche fue un día oscuro para muchas empresas en Europa, en especial en Holanda. Un malware conocido como Worm.Win32.Dorifel infectó más de 3.000 ordenadores en todo el mundo, y el 90% de los usuarios infectados eran del sector público o del sector corporativo de Holanda. Hemos visto departamentos gubernamentales y hospitales ser víctimas de este ataque. Otros países con muchas infecciones son Dinamarca, Filipinas, Alemania, Estados Unidos y España. Todos los usuarios que utilizan los productos Kaspersky Lab están protegidos contra esta amenaza.
El malware comienza a distribuirse por medio de correos electrónicos. Utiliza una vulnerabilidad “de derecha a izquierda” para esconder su extensión de archivo original. Después, descarga y ejecuta otro programa malicioso que codifica los documentos. Dorifel también trata de codificar los archivos que encuentra en los sectores compartidos de la red.
Mientras investigaba el malware Dorifel, me di cuenta de que los servidores que lo alojan no estaban bien configurados y permitían el listado de ciertos directorios. Esto me motivó a buscar más directorios interesantes, y grande fue mi sorpresa cuando descubrí que el servidor alojaba muchos más “componentes” maliciosos, no sólo el malware Dorifel. Es muy difícil definir si esta estafa es tan compleja y avanzada, porque utiliza muchos componentes diferentes con diferentes niveles de complejidad. Algunas de las cosas interesantes que encontré incluyen:
- Archivos de registro con información financiera (números de tarjeta de crédito, CCV y nombres)
- Exploits de Java sin detectar (que ahora detectamos como: Exploit.Java.CVE-2012-0507.oq y Exploit.Java.Agent.hl)
- Antivirus falsos (detectados como Trojan-FakeAV.Win32.SmartFortress2012.ctq)
- Malware adicionales, incluyendo Trojan.Win32.TDSS.isql y otros que seguimos analizando
- Estadísticas de infección del malware Dorifel (sigue activo)
- Inyecciones web que se usan para ejecutar sitios phishing
- Paneles administrativos para paquetes de exploits y estadísticas.
Este es un indicador muy claro de que el equipo que desarrolló el malware Dorifel también estaba participando en otras estafas. También pudimos descargar otros ejemplares de varios programas maliciosos que los analistas de Kaspersky Lab siguen investigando. Publicaremos la nueva información que encontremos aquí, en Viruslist.
Este servidor también contiene estadísticas de infección y, cuando escribí esto, se habían identificado todavía más víctimas en otros países. Ahora podemos ver que incluye países como Canadá, China y Polonia. La tasa de infección en Holanda subió a 3.113, lo que implica un aumento de más de 1.100 ordenadores en pocas horas. Esto indica que no todos los ordenadores tienen una versión actualizada de sus programas antivirus o, en el peor de los casos, ni siquiera tienen instalado un antivirus.
Una pregunta que nos hemos hecho en el curso de esta investigación es si este ataque está dirigido contra los gobiernos y compañías de alto perfil de Holanda. No es algo que podamos confirmar, pero por alguna razón la gran mayoría de las víctimas está en Holanda. Por eso decidí investigar el caso con mayor profundidad para ver si podía encontrar más información; el primer paso lógico era investigar la infraestructura del servidor de Comando y Control.
En ese momento estábamos analizando las muestras y explorando los servidores. Esta no es la primera vez que encontramos servidores que se utilizan en estafas de malware con configuraciones pobres, así que sabíamos dónde comenzar nuestra búsqueda. No sé por qué vemos servidores con mala configuración con tanta frecuencia, pero debe ser una señal de que los cibercriminales responsables no tienen muchos conocimientos técnicos y la gente que escribió el malware no es la misma que la que lo usa.
Por fin, pudimos encontrar muchos paneles de control. Los paneles contienen estadísticas sobre infecciones y es posible que también guarden información sobre los datos robados. También encontramos instalaciones de PHPMyAdmin.
Quiero destacar que encontramos muchos otros archivos maliciosos en el servidor que guardaba el malware Dorifel, y también muchos exploits que podrían indicar que los ordenadores infectados con Dorifel también tienen malware adicionales instalados. Enviamos todos los ejemplares que conseguimos a los analistas de virus, y ya hemos publicado muchas nuevas firmas que nos ayudarán a proteger a nuestros clientes de estas amenazas. También estamos trabajando en estrecha colaboración con las autoridades para detener a estos cibercriminales.
Como ya he mencionado, encontramos información financiera interesante, lo que puede indicar que esta estafa de malware está relacionada con ZeuS/Citadel, pero como todavía no hemos identificado ningún programa malicioso relacionado con ZeuS/Citadel, no podemos confirmarlo. Lo que sí podemos asegurar es que el mismo servidor guarda la información financiera robada. Seguimos investigándolo.
Algo que no tiene sentido es que nuestro motor heurístico detectó que el mismo servidor también tenía nuevos exploits Java, pero al principio no teníamos un veredicto completo. Ahora identificamos los exploits como Exploit.Java.CVE-2012-0507.oq y Exploit.Java.Agent.hl. Todavía no sabemos por qué aloja el servidor estos exploits, pero creemos que se están utilizando en ataques de descargas drive-by para descargar malware adicional, como programas que roban información financiera.
Seguiremos investigando los ejemplares que encontramos porque todavía no hemos identificado todos los componentes o descubierto quién es el responsable de estas estafas. Pero, por ahora, hay componentes que dañarán mucho los ordenadores infectados. Si te infectan, los cibercriminales podrían robar tu información financiera, codificar tus archivos e instalar puertas traseras en tu equipo. Mantendremos el blog actualizado con información nueva tan pronto como podamos. Quiero alertar a todos los lectores de este blog a que tengan cuidado con los archivos sospechosos, por ejemplo, no abrir archivos adjuntos a correos electrónicos de organizaciones que han sido afectadas por el virus. Asegúrate de que tu equipo está protegido con las últimas firmas de Kaspersky y tiene todos los parches de seguridad de Windows y de otros programas externos como Java, porque podrían aparecer más ataques como este.
También te recomendamos que bloquees el acceso a las siguientes direcciones IP: 184.82.162.163 y 184.22.103.202. El tráfico de redes en estas direcciones puede indicar que estás infectado, y los troyanos descargadores descargan más malware desde allí.
Si no eres usuario de Kaspersky Lab, te recomendamos que descargues nuestra herramienta de desinfección gratuita desde nuestro sitio web http://www.kaspersky.com/virusscanner.
Dorifel es mucho más grande de lo que pensábamos, ¡y sigue creciendo!