Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/11/2012
El malware Gamarue se esconde en las confirmaciones de reservas de hotel enviadas a los usuarios alemanes
En mayo de 2012, los expertos en seguridad comenzaron a emitir avisos sobre confirmaciones de reservas de hotel maliciosas diseñadas para difundir un desagradable malware. En ese momento, los correos electrónicos estaban destinados a los usuarios de habla inglesa, pero ahora han sido adaptados para ser enviados a los internautas alemanes.
Los expertos de Trend Micro han identificado una notificación malintencionada que pretende provenir de Brenners Park-Hotel and Spa en Austria. Al igual que las primeras variantes, los mensajes de correo intentan convencer a los destinatarios para abrir un archivo adjunto que supuestamente contiene detalles de la reserva.
En realidad, el archivo adjunto oculta BKDR_ANDROM.P – una variante del malware Gamarue/Andromeda – que es capaz de realizar sus tareas maliciosas en sistemas basados en Windows XP y Windows 7 (versiones de 32 bits y 64 bits).
Una vez que se infiltre en el ordenador, el malware intenta contactar con uno de sus seis servidores de comando y control (C&C). El C&C ordena al elemento malicioso que recopile información desde el dispositivo infectado y descargue un complemento adicional de un sitio australiano comprometido.
Los investigadores han encontrado que un dominio .pl – registrado con Domain Silver Inc. - era el único activo en el momento cuando se descubrió el correo electrónico. Ellos contactaron con CERT Polonia, que tomaron medidas rápidas para desconectarlo.
Esta campaña de infección particular parece haber afectado principalmente a los usuarios de Alemania (30%), Australia (25%), Singapur (11%) e Italia (8,7%).
Según los expertos, al igual que otras amenazas similares, Gamarue es modularizado. En este caso particular, el malware ha sido cifrado para impedir a los investigadores analizarlo en un entorno de máquina virtual.
Además de descargar archivos, Gamarue también es capaz de modificar registros, conectarse a URLs arbitrarias y ejecutar archivos.
Trend Micro está bloqueando activamente todos los dominios y enlaces que están relacionados con este malware. Además, los correos electrónicos están bloqueados antes de llegar a las bandejas de entrada.
Sin embargo, este caso muestra claramente que los ciberdelincuentes están trabajando constantemente en mejorar sus operaciones y una "piedra en el camino" probablemente no los hará renunciar. Por eso, siempre se aconseja a los usuarios tener cuidado cuando reciban correos electrónicos de este tipo.