La puerta trasera de Hyves

Ayer estuve analizando Backdoor.Win32.VB.bsfel, un nuevo backdoor con función de MSN-Worm diseñado para robar contraseñas de cuentas bancarias y espiar a usuarios. Eso no es nada nuevo.

Sin embargo, este programa tiene dos cosas particularmente interesantes:
La primera es que todas sus funciones están en holandés. Esto es muy poco frecuente y es una muestra clara de que el autor es holandés.

La segunda es que el malware contiene URLs cifradas que dirigen a perfiles en sitios holandeses de redes sociales: www.hyves.nl, www.partyflock.nl y www.superdudes.nl. Hyves es el sitio de redes sociales más grande de Holanda y los otros también son muy conocidos.

Todos los perfiles a los que el malware dirige fueron creados la semana pasada. Pero, ¿para qué son estos perfiles en realidad? La respuesta es simple: todos contienen un URL distorsionado.

Claro que esto no es para burlar a los analistas de virus, sino para pasar inadvertido por los filtros de spam de los sitios de redes sociales.

El backdoor busca en la página y divide la URL en “IMG_URL_ST” y “IMG_URL_END”. La URL es en realidad la ubicación del servidor de comando y control (C&C) con base en la red, donde el backdoor envía reportes y recibe ordenes.

Crear este programa y cuentas falsas es un trabajo pesado. Seguro que el autor pensó que era más probable que clausuraran su servidor C&C a que eliminaran todos los perfiles de los sitios de redes sociales. Si esto pasara, el autor podría simplemente cambiar las direcciones de los perfiles restantes y seguir controlando la red robot.

Hemos notificado a los sitios sobre este problema para que eliminen esas cuentas.