Falsa amistad de Facebook comparte video para propagar malware !!!

   Comúnmente, los mensajes nuevos en el correo o muro de Facebook causan emoción, más aún si se tratan de videos con temas interesantes o contenido intrigante, pero cuidado, el tratar de reproducirlos te puede costar más que perder el tiempo.

El escenario

"Domingo en la noche, ha sido un día lleno de excesos (muchas palomitas, refresco, golosinas y por supuesto, películas), justo antes de ir a dormir, se te ocurre revisar tu correo nuevamente, a pesar de que ya lo hiciste varias veces. Sin mucho que esperar, tecleas tus datos de acceso y casi a punto de hacer clic en “cerrar sesión”, con sorpresa te percatas que hay un mensaje nuevo en tu bandeja de entrada. Lo primero que piensas es que puede ser un correo spam que ha burlado los filtros, aún así, te diriges a la bandeja y en el “Asunto” lees que una “amiga” ha comentado en tu muro...

Inmediatamente relacionas amiga-muro con la red social Facebook y como no puedes contener las ganas de saber lo que te escribió, abres el mensaje. Algunos clientes de correo, bloquean la visualización de las imágenes, pero tu curiosidad es más grande y quitas esa opción de seguridad. Oh sorpresa!!! las imágenes complementan muy bien lo que dice el texto... video, sólo para ti, íntimo..."

El análisis

El día de ayer recibimos la notificación de un correo, aparentemente de Facebook, que invita a visualizar un video a partir de la descarga del “nuevo reproductor” de la red social.

Cualquiera de los enlaces presentes en el mensaje apuntan al sitio: hxxp://yyyyy.kardaizler.org/uyeotomasyon/forms/files/index.html

Y éste a su vez, realiza una redirección a: hxxp://www.aryyyyyyyyyses.com/form/use/application/files/index.php

A partir de donde puede descargarse el archivo codec-setup.exe.

MD5: ce666d8ca82c1df145ddfd36a76883e0

SHA256: 877bb325af69636908a86218c454bde7b51f2e0cb1ced8e8fcbb9c9eeda323fd

En el servicio VirusTotal, 19 de 42 motores de antivirus lo detectan como malicioso. El resultado de la detección por algunos fabricantes, se muestra a continuación:

Si el destinatario, guiado por el escepticismo, la curiosidad o cualquier otro motivo ejecuta el archivo codec-setup.exe, varias cosas van a suceder en su equipo.

En primer lugar, se va a levantar un proceso con el mismo nombre que aparentemente no realiza actividad sospechosa alguna.

Sin embargo, es responsable de la modificación del archivo de hosts y de la creación de un nuevo valor en el Registro de Windows para asegurar su ejecución con cada reinicio del sistema.

Con la modificación del archivo de hosts se está llevando a cabo un pharming que afecta a usuarios del banco viabcp.com (Banco de Crédito del Perú), principalmente.

El sitio phishing lucía de la siguiente forma:

En el Registro de Windows se agrega el valor Winlogon en la llave HKLM\Software\Microsoft\Windows\CurrenVersion\Run, el cual va a ejecutar el archivo scssrr.exe ubicado en C:\Windows con cada reinicio del equipo.

Además, identificamos consultas DNS para resolver el sitio krikoperurlz.X.com, cuya dirección IP corresponde al valor agregado en el archivo de hosts.

El recuento de daños

“...Y el video no aparece!!! Ejecutas varias veces el archivo codec-setup.exe tratando desesperadamente de ver aquello que con tanto recelo, “tu amiga”, te pidió que guardaras... Nada sucede, la frustración se convierte en indiferencia,   -al final ni la conocía- piensas. Cierras el navegador, apagas tu máquina y te vas a dormir pensando en que quizá mañana sí lo puedas ver.”

Hoy en día es muy común ver este tipo de ataques, en los que se combinan mensajes de ingeniería social con contenido altamente llamativo para lograr infectar equipos y conseguir robar información confidencial de las víctimas. Claramente, ésto puede extenderse para lograr afectar a usuarios de otros bancos en diferentes países.

La única forma de protegernos al respecto, es llevar nuestro sentido común a su último nivel para identificar desde el principio que “no todo es tan bueno como parece” y eliminar este tipo de mensajes inmediatamente.