Sitio web falso de Virustotal propaga un gusano java

Se están discutiendo las estrategias de infección que utilizan tecnología javascript porque su estado “híbrido” hace que los cibercriminales que buscan formas de expandir sus ataques recluten ordenadores infectados sin importar el navegador o sistema operativo que utilicen.

En cuestiones de actividades criminales, las técnicas de descargas Drive-by que inyectan javascript maliciosos en sitios web son un conjunto de tácticas de ingeniería que exigen que los usuarios se vuelvan cada vez cuidadosos para poder “detectar” los ataques maliciosos.

Este fin de semana, encontramos un sitio web falso del popular sitio que analiza archivos sospechosos Virustotal, de la empresa Hispasec, que intentaba infectar a los usuarios con los métodos que mencioné arriba.

A los ojos de los usuarios, el sitio web se ve igual que el original. Sin embargo, hay parámetros escondidos en el código que se utilizan para infectar el sistema con la applet java que descarga un programa malicioso que Kaspersky Lab detecta como Worm.MSIL.Arcdoor.ov.

El gusano recluta zombis para que formen parte de una red zombi diseñada para lanzar ataques DDoS attacks synflood, httpflood, udpflood e icmpflood. La comunicación se concentra en un servidor de comando y control que guarda la información que obtiene del ordenador de la víctima. Algunos de los parámetros de la comunicación son:

& mode: tipo de ataque DDoS
&botver: versión del malware
&pcname: nombre del ordenador víctima (hostname)
&winver: tipo y versión del sistema operativo

Por lo general estos ataques se realizan mediante un centro desde el cual los atacantes realizan maniobras maliciosas con aplicaciones web y DDoS Frameworks como N0ise (que se usó en este caso), Cythosia, o NOPE. Estas aplicaciones tienen un fuerte impacto y gran demanda en cuestiones de desarrollo, en especial en Alemania y Europa.
Kaspersky Lab detecta esta amenaza de forma proactiva y sigue investigando estas actividades criminales.