Un nuevo gusano de Twitter redirige a un antivirus fraudulento

Un nuevo gusano de Twitter se está propagando rápido gracias al servicio para acortar URLs “goo.gl” que los delincuentes están utilizando para distribuir los enlaces maliciosos.

Los enlaces maliciosos redirigen al usuario varias veces, como se explica a continuación. La cadena de redirecciones hace que los usuarios de Twitter sean blanco de un ataque scareware en el que le ofrecen el programa antivirus fraudulento “Security Shield”. La página web utiliza las mismas técnicas de ofuscación que una versión anterior (Security Tool), que es una implementación de criptografía RSA en JavaScript para ofuscar el código de la página.

Nuestros usuarios están protegidos contra los ataques de este gusano y todas las URLs están en la lista de rechazados de nuestros productos.

Estos son algunos datos técnicos del ataque:

1. Cadenas de redirecciónLos enlaces “goo.gl” dirigen a los usuarios a diferentes dominios con una página “m28sx.html”:

   

   Esta página html dirige a los usuarios a un dominio estático con un dominio ucraniano top level:

   

   Por si esto fuera poco, el dominio dirige al usuario a otra dirección IP que ayuda a distribuir el antivirus fraudulento:

   

   Por último, esta dirección IP redirige al usuario al sitio web del antivirus fraudulento:

   

2. El sitio del antivirus fraudulentoSi ingresas a este sitio aparece una advertencia que dice que se han detectado aplicaciones sospechosas en tu ordenador y que deberías analizarlas:

   

   Si apruebas esta acción, se inicia el análisis:

   

   Después se invita al usuario a eliminar las amenazas de su ordenador y descargar una aplicación antivirus falsa llamada “Security Shield”:

   

   La interfaz gráfica adopta el idioma del sistema operativo del ordenador del usuario. Cuando estudié la amenaza utilicé una versión francesa de Windows XP, así que la interfaz estaba en francés.

3. El sitio web del antivirus fraudulento utiliza RSA para ofuscar el código.Las técnicas de ofuscación son muy comunes en los sitios maliciosos. Aquí podemos ver la que se usó en el sitio web del antivirus fraudulento.

   Cuando analizamos la ofuscación, descubrí que consta de dos pasos:

   • Decodificador Base64 (trivial)
   • RSA con un módulo muy pequeño

   Este es un segmento del código de la página ofuscada:

   

   Tanto la clase y el método empleados tienen nombres asignados al azar. El método “camunqjr” toma un parámetro decodificado con BASE 64.

   Si investigamos la clase, encontramos el algoritmo RSA:

   

   Cualquiera que tenga conocimientos de criptografía reconocerá el algoritmo RSA aquí. Tenemos una función que toma 3 parámetros: C, D y N, que usa el operador “powmod”.

Están empleando RSA para decodificar el JavaScript de forma local.

• ‘c’ es el criptograma
• ‘d’ es el exponente secreto o el exponente de decodificación.
• ‘n’ es el módulo.

Para obtener “m” (mensaje), se efectúa la decodificación con la siguiente fórmula: m = c^d mod n

RSA se utiliza como técnica de ofuscación con más frecuencia que cualquier otra, ya que la clave privada está disponible en la página JavaScript. El módulo “n” casi siempre es diminuto, con solo 26 bits de longitud.

Esta es una captura de pantalla de los parámetros tomados del JavaScript:

Recuerda que puedes infectar tu ordenador si no tienes cuidado con los enlaces a los que pulsas.