Un cruce entre Skyfall y Skype

El programa malicioso de nombre compuesto SKYPEFALL.EXE es el último programa de envío de spam que está activo y propagándose mediante Skype. Lo registramos por primera vez el 3 de marzo usando castellano e inglés para atrapar a sus víctimas. ¿En qué consiste su ataque?

La víctima recibe un mensaje de Skype con el siguiente formato:

¡Dios Mío! [nombre del usuario de Skype] video: http: //********skype. info/video/?n=[nombre del usuario de Skype]

Oh, My God ! [user name in Skype] video: http: //********skype. info/video/?n=[user name in Skype]

Si el usuario pulsa en el enlace desde Internet Explorer, aparece en un sitio web con un video falso repleto de comentarios que tratan de despertar su interés para que descargue un plugin que permite ver el video:

Una vez más, la URL que se usa en el mensaje malicioso que se envió mediante Skype sólo está disponible si la víctima está usando el navegador Internet Explorer. Si la víctima emplea cualquier otro navegador, la URL no está disponible.

El setup.exe inicial es un archivo RAR auto-extraíble con instrucciones integradas. Incluye un paquete completo de instalación GUI.

Con esto, la víctima recibe funcionalidades de adware y capacidades de puerta trasera. Una vez instalado en el ordenador de su nueva víctima, el programa ataca a sus contactos de Skype para seguir propagando estos mensajes spam. También descarga las instrucciones para su comportamiento desde otro servidor, que son así:

{
“skype_restart_mins”: 120,
“old_friend_hours”: 48,
“del_msgs_limit”: 5,
“send_strategy”: 1,
“max_loc_msgs”: 60}

El malware también incluye un cliente SMTP incrustado que podría permitir a los atacantes que envíen spam mediante el equipo de la víctima.

Los atacantes que encabezan esta operación están cambiando este binario en la web cada pocas horas. Lo hacen para evitar las detecciones consistentes de los antivirus.

Kaspersky Lab detecta esta amenaza como Trojan-Dropper.Win32.SkyDll.a.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *