El código malicioso, escrito en portugués y camuflado detrás de una falsa tarjeta navideña, tenía por objetivo robar dinero de las víctimas. La campaña comenzó el pasado 20 de diciembre. Brasil y Estados Unidos, los dos países más afectados. Análisis y funcionamiento.
El mensaje, traducido al castellano, era: «Has recibido una tarjeta de Navidad. Alguien muy especial te ha enviado una tarjeta de Navidad. En caso de que no puedas ver la tarjeta, haz clic aquí. Mucho mejor que los regalos bajo el árbol de Navidad es una familia feliz». El correo incluía una dirección URL corta de bit.ly. Si se revisan todas las estadísticas del período de tiempo en que causó mayor daño, se encuentran otras direcciones web que conducían al mismo malware pero en diferentes dominios. De este modo, Estados Unidos se convirtió en el segundo país con el mayor número de víctimas potenciales, sólo superado por Brasil.
El objetivo de contar con dos enlaces distintos es claro: uno de ellos es hospedado en un servidor de actividades cibercriminales y el otro está ubicado en una página web legitima de una compañía en Brasil que fue hackeada.
Funcionamiento
El malware está en un archivo .cpl, detectado como Trojan-Downloader.Win32.Banload.cpph que descarga otro malware bancario de un servidor ubicado en Brasil. Los archivos están cifrados y no pueden ser ejecutados si se bajan directamente del servidor. Cuando el archivo inicial es ejecutado, tratará de lanzar Mozilla Firefox desde la línea de comando, mostrando una página de actualización de Java (legitima). Disfrazado como una actualización de aplicación regular, este ejecutará varios comandos de la línea de procesos y creará copias en el sistema para hacer la labor de limpieza.
En realidad, este archivo no tiene nada que ver con Java y está inyectando código malicioso en la memoria de direcciones de procesos de Windows comúnmente utilizados. Después de que todas estas acciones se hayan realizado en el sistema de la víctima, se le pide al usuario reiniciar su máquina.
El Banloader inicial descarga y ejecuta el anti-rootkit The Avenger para eliminar algunos productos de AV del sistema recientemente infectado. Luego, ejecuta un archivo de rutina del Avenger. Finalmente, el banker es descargado en el sistema como rundll32.cpl y ejecutado vía CurrentVersionRun.
Posibles atacantes
Para Kaspersky Lab, el cyber criminal detrás de este malware es oriundo de Brasil. Según pistas, la actividad empezó a las 9 am y terminó alrededor de las 2 pm. Esto significa que su trabajo principal es crear código malicioso, infectar las máquinas de sus víctimas y robarles su dinero.
Otro dato interesante es que la imagen de Santa Claus embebida en el correo original también es un enlace corto vía bit.ly que apunta a una página web gubernamental legítima de Brasil. Las estadísticas del bit.ly muestran que ha recibido más de 5707 clics para aquel entonces. En realidad, estos no son clics reales sino las pre visualizaciones de víctimas potenciales vía proveedores de servicios de correo electrónico. En otras palabras, si el correo es configurado a mostrar imágenes externas en el cuerpo del correo, este abrirá el enlace original de la url bit.ly produciendo un clic para el contador. ¿Qué es lo interesante de esto? Hemos visto que el número total de personas que hicieron clic en la tarjeta electrónica falsa es de 1247, mientras el número total de clics en la imagen de Santa es de 5707. Esto significa que el 21.8% de las personas son muy susceptibles a ataques de ingeniería social mientras otros son más cautelosos.
