Dorkbot utiliza San Valentín y viaje a Punta Cana para propagarse
Considerando que estamos a tan sólo ocho días de San Valentín, es común observar que los cibercriminales empiezan a utilizar con mayor frecuencia falsas postales, poemas o cartas de amor para propagar amenazas. En concordancia, en el día de hoy hemos recibido en nuestro laboratorio un correo electrónico que, aunque utiliza una vez más el día de los enamoradoscomo táctica de Ingeniería Social para expandir algún tipo de código malicioso, intenta innovar dentro del mismo tema. En esta ocasión los ciberdelincuentes eligieron tentar a las potenciales víctimas haciéndolas creer que son ganadoras de un supuesto concurso de San Valentín organizado por una conocida aerolínea de origen chileno en la que se señala que el usuario resultó seleccionado en el sorteo de un paquete turístico a Punta Cana.
Supuestamente, este incluye dos pasajes ida y vuelta con todo pago por tres días y dos noches. El formato utilizado en el correo es muy similar al que emplea esta empresa de vuelos comerciales en sus boletines informativos, sin embargo, se puede apreciar que después de “Estimado” se incluye de forma genérica “Cliente” en vez del nombre del mismo como lo hace la compañía:
En la imagen anterior se enmarcaron dentro de un rectángulo rojo los once hipervínculos que tienen como objetivo que el usuario descargue una copia del malware detectado proactivamente por ESET NOD32 Antivirus como una variante de Win32/Injector.NTU troyano.
Si Injector.NTU es ejecutado intentará conectarse a otro sitio de donde bajará una variante del prolífico gusano botnet Win32/Dorkbot.B, cuyo fin es convertir la computadora de la víctima en zombi para que quede a la espera de instrucciones remotas de un servidor centralizado que pueden ser desde la obtención de una captura de pantalla de lo que el usuario esté haciendo hasta la ejecución de más códigos maliciosos o la obtención de información sensible.
Le recomendamos a todos los lectores ser muy precavidos al momento de abrir correos y seguir hipervínculos incluso si quien los envía es un conocido o es parte de un servicio al cual se esté suscrito. En nuestra Guía para identificar correos falsos se explican algunos consejos para identificar mensajes ilegítimos. También es imprescindible que el usuario sepa cómo descubrir si se trata de un enlace engañoso.
André Goujon
Especialista de Awareness & Research