Noticias

Un nuevo gusano de Twitter redirige a un antivirus fraudulento

Un nuevo gusano de Twitter se está propagando rápido gracias al servicio para acortar URLs “goo.gl” que los delincuentes están utilizando para distribuir los enlaces maliciosos.

Los enlaces maliciosos redirigen al usuario varias veces, como se explica a continuación. La cadena de redirecciones hace que los usuarios de Twitter sean blanco de un ataque scareware en el que le ofrecen el programa antivirus fraudulento “Security Shield”. La página web utiliza las mismas técnicas de ofuscación que una versión anterior (Security Tool), que es una implementación de criptografía RSA en JavaScript para ofuscar el código de la página.

Nuestros usuarios están protegidos contra los ataques de este gusano y todas las URLs están en la lista de rechazados de nuestros productos.

Estos son algunos datos técnicos del ataque:

  1. Cadenas de redirecciónLos enlaces “goo.gl” dirigen a los usuarios a diferentes dominios con una página “m28sx.html”:

    Esta página html dirige a los usuarios a un dominio estático con un dominio ucraniano top level:

    Por si esto fuera poco, el dominio dirige al usuario a otra dirección IP que ayuda a distribuir el antivirus fraudulento:

    Por último, esta dirección IP redirige al usuario al sitio web del antivirus fraudulento:

  2. El sitio del antivirus fraudulentoSi ingresas a este sitio aparece una advertencia que dice que se han detectado aplicaciones sospechosas en tu ordenador y que deberías analizarlas:

    Si apruebas esta acción, se inicia el análisis:

    Después se invita al usuario a eliminar las amenazas de su ordenador y descargar una aplicación antivirus falsa llamada “Security Shield”:

    La interfaz gráfica adopta el idioma del sistema operativo del ordenador del usuario. Cuando estudié la amenaza utilicé una versión francesa de Windows XP, así que la interfaz estaba en francés.

  3. El sitio web del antivirus fraudulento utiliza RSA para ofuscar el código.Las técnicas de ofuscación son muy comunes en los sitios maliciosos. Aquí podemos ver la que se usó en el sitio web del antivirus fraudulento.

    Cuando analizamos la ofuscación, descubrí que consta de dos pasos:

    • Decodificador Base64 (trivial)
    • RSA con un módulo muy pequeño

    Este es un segmento del código de la página ofuscada:

    Tanto la clase y el método empleados tienen nombres asignados al azar. El método “camunqjr” toma un parámetro decodificado con BASE 64.

    Si investigamos la clase, encontramos el algoritmo RSA:

    Cualquiera que tenga conocimientos de criptografía reconocerá el algoritmo RSA aquí. Tenemos una función que toma 3 parámetros: C, D y N, que usa el operador “powmod”.

Están empleando RSA para decodificar el JavaScript de forma local.

  • ‘c’ es el criptograma
  • ‘d’ es el exponente secreto o el exponente de decodificación.
  • ‘n’ es el módulo.

Para obtener “m” (mensaje), se efectúa la decodificación con la siguiente fórmula: m = cd mod n

RSA se utiliza como técnica de ofuscación con más frecuencia que cualquier otra, ya que la clave privada está disponible en la página JavaScript. El módulo “n” casi siempre es diminuto, con solo 26 bits de longitud.

Esta es una captura de pantalla de los parámetros tomados del JavaScript:

Recuerda que puedes infectar tu ordenador si no tienes cuidado con los enlaces a los que pulsas.

Un nuevo gusano de Twitter redirige a un antivirus fraudulento

Su dirección de correo electrónico no será publicada.

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada