Techie Blog El blog de noticias, tecnologías y tendencias de E.D.S.I. Trend Argentina

13oct/11Off

Acerca del correo de las foto multas (ahora un poco más técnico)

En el día de ayer tomo mucha fuerza pública, impulsado en gran parte por los medios de comunicación, la noticia acerca de “el virus de las foto multas”. Me sorprendí con la gran repercusión de este asunto al verlo, por ejemplo, en la primera página del diario “La razón” con un título más grande que el resultado de la selección de futbol Argentina. Obviamente, el nivel de cobertura de este malware fue el adecuado para dar a conocer el riesgo de abrir un correo con links en donde la ingeniería social motiva la curiosidad de un usuario.

Correo electronico que llegó a los usuarios

Sin embargo, cuando ocurren este tipo de acontecimientos, que repercuten ampliamente entre los usuarios de Internet, tiendo a analizar más técnicamente el método y la finalidad de la amenaza. Hoy me gustaría compartir con ustedes un poco más en detalle qué es lo que trae por detrás el famoso virus de las foto multas.

El engaño para el usuario comienza con un correo electrónico en donde se le notifica desde una dirección de correo falsa (infracciones@multas.gov.ar), de hecho, el dominio multas.gov.ar no existe según los servidores DNS que pude verificar.

No obstante, el correo puede llegar y una persona que lea el correo se va a ver más preocupada en saber acerca de su multa que acerca del origen del correo electrónico. Como se puede ver en la imagen del correo electrónico, el cuerpo del mismo es bastante intimidante, ya que se citan número de leyes, artículos y hasta el Veraz mismo (por cierto, la ley 12.799 que cita en el correo electrónico tiene que ver con la modificación del Artículo 41 de la ley 10.579 acerca del “Estatuto Docente” y nada tiene que ver con multas, pagos o deudas). El componente de ingeniería social de este correo electrónico hace que el usuario haga click inmediatamente y casi sin pensarlo en los tres hipervínculos que aparecen en el cuerpo como “Foto 1 – Foto 2 – Foto 3”. Obviamente, si alguien en un correo electrónico dice que tengo una multa y tengo la posibilidad de ver las fotos para analizar el hecho, voy a hacer click en los links para verlas.

Cuando el usuario hace click en los links, según la versión del correo electrónico, este era redirigido a cualquiera de las siguientes URLs:

hXXp://gsf.r[SUSTITUIDO]s.it/content/page.html?id_gsf=592737&link=http://www.mueller[SUSTITUIDO]dmore.com/files/Video_[SUSTITUIDO]Lash_Avi.exe

hXXp://blog.fc[SUSTITUIDO].com/click/?adid=1250&adurl=http://www.tel[SUSTITUIDO]ing.com/refrac_v1/Video_Player_[SUSTITUIDO]Lash_Avi.exe

hXXp://gsf.r[SUSTITUIDO]s.it/content/page.html?id_gsf=592737&link=http://www.mueller[SUSTITUIDO]dmore.com/files/Video_Player_[SUSTITUIDO]Lash_Avi.exe

En donde como se puede ver, en realidad existen dos direcciones URL en cada link, el primero puede utilizarse para hacer un traking, confundir o evitar algunos filtros y el segundo es el que realmente alojaba el malware. Cabe destacar que ninguna de las URLs son responsables por el alojamiento del malware, sino que estas fueron previamente hackeadas para alojar el virus, esto quiere decir que los dueños de los respectivos sitios no tienen relación con la amenaza.

Encabezado de una de las muestras con la firma de UPX

Cuando el usuario descarga el archivo y lo ejecuta, la rutina de descompresión UPX se ejecuta en memoria y se conecta a otro sitio web para descargar dos nuevos componentes, los cuales son guardados en el disco de la víctima con un nombre compuesto por números aleatorios. Las dos nuevas piezas de código también se encuentran comprimidas con el algoritmo UPX.  Como nota al margen, podemos decir que las tres piezas de código fueron escritas en Delphi y luego comprimidas con UPX sin realizar ningún tipo de modificación en el encabezado de los archivos, esto permitió que la totalidad de este análisis pueda ser realizado sin tener que ejecutar las muestras.

Una de estas dos piezas de malware se encuentra diseñada para indagar todas aquellas contraseñas que pudieran estar alojadas dentro de la PC de la, ahora, víctima.

Por otro lado, la segunda pieza de código es un poco más interesante, ya que tenemos ante nosotros un troyano bancario dirigido a cuatro de los principales homebankings de Argentina. Según lo que pude observar bajo el análisis estático de la amenaza (esto quiere decir, sin la ejecución de la misma), este malware observa en primera instancia la presencia de alguno de estos cuatro procesos en memoria:

  • firefox.exe
  • chrome.exe
  • opera.exe

y dentro de estos procesos si se encuentra activo las siguientes URLs  (todas correspondientes a homebankings):

https://www.bancofrances.com.ar

https://www.personas.santanderrio.com.ar/hb/html/login/principal.jsp

https://www.accessbanking.com.ar/RetailHomeBankingWeb/access.do?codTmst=1

https://macrodirect.com.ar/

https://www.standardbank.com.ar/RetailInstitucionalWeb/home.do

Si las URLs están activas, se ejecutan dentro del malware distintas funciones que le permiten capturar la información del usuario, pidiéndole inclusive que ingrese los números de su tarjeta visa electron o más valores de su tarjeta de coordenadas. De esta manera, el malware envía la información robada a uno de los 8 servidores especialmente modificados para recibir los datos.

Fragmento de código en donde se puede ver la leyenda "ultimos digitos de su VISA ELECTRON"

Fragmento de código que solicita llenar las casillas vacias de la tarjeta de coordenadas

En total, esta segunda pieza de código cuenta con 21 direcciones de servidores web afectados en la amenaza, divididos de la siguiente manera:

  • 8 servidores para el envío de la información extraída
  • 13 servidores con actualizaciones del código (los cuales ya no se encontraban disponibles al momento de este análisis)

Si bien la finalidad de la amenaza sigue siendo el robo de información, y estamos acostumbrados a este tipo de comportamientos, lo llamativo fue la masividad de los mails recibidos y como se utilizó un método de ingeniería social totalmente orientado a la región para lograr la infección.


¿Te gustó este artículo?

¡Suscríbete a nuestro feed RSS!

Publicado por Maximiliano Cittadini

Comentarios (0) Trackbacks (0)

Lo sentimos, los comentarios están cerrados por ahora.

Aún no hay trackbacks.

Arriba ↑