Categories: SeguridadVirus

Nuevas técnicas de spam: Exprimiendo el correo basura

Estamos hartos de ver correos que llegan con adjuntos y por ese preciso motivo su efectividad a la hora de infectar ha caído. La industria del malware busca nuevas vías, aprovechando al máximo el spam. Analizamos una muestra.

“Rebuscando en la basura”, hemos descubierto en el Laboratorio que últimamente se estila más de lo habitual el correo basura en los que se agrupan varios vectores de ataque. Por un lado, intenta estafar con productos “típicos” (como píldoras, hierbas y créditos) y por otro, si no interesa comprar, procura que la víctima descargue un ejecutable. No viene adjunto, sino que indica una URL desde donde obtenerlo. Esta nueva estrategia está destinada a eludir las fuertes restricciones de seguridad que ya casi todos los administradores implementan en su correo. Las heurísticas paranoicas que impiden cualquier proliferación de ejecutables y otras extensiones peligrosas adjuntas en los correos, han hecho que la industria del malware se mueva hacia la descarga voluntaria a través de la web. Por supuesto, convenciendo al usuario a través de una “sofisticada” ingeniería social.

El correo comienza con el “anuncio” en sí que invita a la descarga. Para evitar que este mismo texto que escribo sea interceptado por los procesos antispam, traduciré brevemente el correo:

* ¿Has visto el programa que permite localizar al dueño de cualquier móvil a través del satélite? ¡Es un programa fantástico! Puedes probarlo, es fácil. Ejecútalo, introduces el número del teléfono de la persona a localizar y ya está. Copia este enlace en tu navegador y descarga el programa http://XXXXXXXX.info/locator.exe

La URL está ofuscada, no así el dominio de primer nivel ni el nombre del programa. A continuación en el correo, bien incrustado en imagen o en texto claro, se intenta vender el crédito o la píldora milagrosa de turno, como de costumbre. El texto reproducido permanece invariable en la mayoría del spam recibido.

Aquí se puede encontrar una imagen: http://www.hispasec.com/images/unaaldia/ecbasura.png

En Hispasec hemos descargado y analizado el malware (sigue a día de hoy perfectamente accesible a través de la web) y los resultados proporcionados por VirusTotal.com a fecha de 5 de junio de 2007, a las 15:00 hora española son:

Spambot.BXN.1 (AntiVir), GenPack:Trojan.Spambot.BXN (BitDefender),

Suspicious ? DNA (QuickHeal), Trojan.Spambot (DrWeb), Suspicious

Trojan/Worm (eSafe), suspicious (Fortinet),

Trojan-Downloader.Win32.Small.cyn (Ikarus), probably a variant of

Win32/TrojanProxy.Cimuz.NAF (NOD32v2), Mal/AvPak (Sophos),

Trojan.DR.Cimuz.Gen.1 (VirusBuster), Trojan.Spambot.BXN.1

(Webwasher-Gateway).

En total, 11 motores lo detectan (poco más de un tercio), la mayoría por heurística. Una vez infectado, el malware se dedica a controlar la máquina para que envíe más spam, recibiendo instrucciones de un servidor ruso y ayudándose de conocidos servicios de correo online. También intenta crear hilos con más basura en foros phpBB. Se instala como DLL incrustada, lo que dificulta su detección, no hay proceso ni servicio visible y además se autoborra una vez ejecutado.

Este troyano no está especialmente difundido ni se trata de un caso excepcional. Es sólo un ejemplo de las nuevas técnicas (desde el adjunto a la web) de eludir protecciones de seguridad y de exprimir al máximo el spam con un doble mensaje con el que cazar a más perfiles de víctimas: “Si no eres potencial cliente para comprar píldoras o pedir un crédito, seguro que quieres localizar a alguien a través de su móvil”, además de eludir así los filtros de correo. Ingenioso.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Workday consigue incrementar sus ingresos trimestrales cerca de un 16 %

Acumuló 2.160 millones de dólares durante el tercer trimestre de su ejercicio 2025, de los…

14 mins ago

Paradigma Digital presenta las “Techdencias 2025” con enfoque en IA, accesibilidad y sostenibilidad

Paradigma Digital revela las tendencias tecnológicas clave de 2025, destacando el impacto de la IA,…

40 mins ago

Kaspersky: “Los troyanos de acceso remoto pueden tener un control casi total de los dispositivos móviles”

Entrevistamos a Tatiana Shishkova, Lead Security Researcher, GReAT Kaspersky, que hace un repaso de la…

2 horas ago

Zyxel aumenta la protección de sus cortafuegos para pymes

La nueva serie Zyxel USGFLEX Ultimate H mejora su sistema operativo uOS y añade algoritmos…

20 horas ago

Javier Torres se pone al frente de Cegid en Iberia, Latinomérica y África

Su nombramiento como Country Manager se produce en un momento clave para España, con cambios…

20 horas ago

Teresa Oliva García liderará Avanade en el mercado ibérico

Sustituye a Paula Panarra como directora general de esta compañía experta en Microsoft.

21 horas ago