Autores
A primeras horas de hoy, Kaspersky Lab detectó una nueva campaña antispam en Twitter. Cientos de cuentas comprometidas están en este momento propagando enlaces maliciosos, alojados en los dominios .TK y .tw1.su. Se trata de una trampa para falsas soluciones antivirus.
Este es un análisis de la infección en un determinado momento. Hay que tener en cuenta que es una instantánea de la infección y que las cifras son de hecho menores que en la realidad.
Las cuentas comprometidas propagaban hasta 8 mensajes spam por segundo, con enlaces que conducen a los usuarios hacia el infame exploit kit conocido como BlackHole.
Al activar este enlace, los usuarios recibían una alerta sobre supuestas actividades maliciosas en sus equipos y se les urgía a realizar un análisis rápido de sus archivos en el sistema.
Esta es una imagen del mencionado análisis rápido del sistema:
Al final del “análisis”, se invita a los usuarios a instalar una falsa solución antivirus. En nuestras pruebas, se introdujeron varias variantes en los equipos infectados, que eran las mismas amenazas pero con distintos nombres. Esta es una de ellas:
Monitorización de la campaña
Kaspersky Lab está monitorizando la campaña y estos son algunos datos estadísticos que queremos mostrar.
Comenzamos a monitorizar esta campaña hace una par de horas en las que hemos detectado 453 cuentas comprometidas de Twitter que se están usando para propagar enlaces maliciosos. La campaña se dividió en dos partes. Enlaces al dominio .TK y enlaces al dominio .tw1.su.
El TLD (Dominio de nivel superior) .TK
153 usuarios únicos se encontraban activamente enviando enlaces a dominios .TK, con un total de 20 dominios únicos usados. Hemos registrado 656 mensajes enviados.
El TLD (Dominio de nivel superior) .TW1.SU
300 usuarios únicos se encontraban activamente enviando enlaces a dominios .tw1.su, con un total de 21 dominios únicos usados. Hemos registrado 758 mensajes enviados.
En este punto, los dominios no resolvían nada más y la propagación disminuyó hasta detenerse. Los TLD se usaron en 95 Tweets.
Monitorización de la campaña: Parte 2
La campaña se reinició rápidamente con sólo 3 dominios únicos .TK, esta vez de forma mucho más agresiva, y sigue en progreso.
El TLD de la primera parte de la campaña estaba presente sólo en 95 Tweets. Esta es la cantidad de Tweets que registramos para los nuevos:
|
1 2 3 |
WI[redacted]K.TK 884 VI[redacted]DA.TK 890 RE[redacted]LOS.TK 929 |
Esta vez, registramos un total de 317 usuarios únicos propagando activamente los nuevos dominios. 87 usuarios eran nuevos y no habían participado en la primera parte de la campaña (230 ya estaban en la primera parte de la campaña).
Conclusión
Nuestro análisis es sólo una instantánea en un momento dado, y es menor que en la realidad. La campaña sigue en progreso al momento de publicar este análisis. A partir de nuestra limitada monitorización, podemos afirmar que:
El número total de cuentas únicas de Twitter registradas es de 540.
El número total de dominios únicos usados es de 44.
El número total de Tweets registrados es de 4.148.
Las muestras maliciosas que recopilamos ya habían sido detectadas por Kaspersky Lab y nuestros clientes han estado protegidos desde el inicio mismo de la campaña. Las amenazas se detectaron como: Trojan-FakeAV.Win32.Agent.dqs y Trojan-FakeAV.Win32.Romeo.dv
Muchas gracias a mi colega Vicente Díaz por su ayuda en la monitorización de esta campaña maliciosa.
Autores
De los mismos autores
En la misma categoría
Nueva campaña antispam en Twitter es una trampa de falsos antivirus