Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/06/2013
Gusano en Skype: Rodpicom acumula más de 700 mil clics y se confirman nuevos medios de propagación
Durante la tarde del lunes de la semana pasada, miles de usuarios comenzaron a recibir distintos mensajes de sus contactos con un enlace que suponía ser una foto que los involucraba, pero que en realidad propagan un código malicioso reconocido como una variante de Win32/Gapz.E en realidad perteneciente a una familia de amenazas conocida como Win32/PowerLoader.A.
Este código malicioso, infectaba el equipo y comenzaba a propagar los mismos mensajes con los que el usuario se infecto a todos sus contactos, su detección se asocia a la utilización de un avanzado packer conocido como Power Loader, que es capaz de saltar las protecciones del sistema e inyectar un dropper directamente en uno de los procesos principales del sistema: explorer.exe.
A medida que las horas pasaron, distintos enlaces acortados por goo.gl recibieron varios miles de clics, elevando los niveles de alerta y preocupando a los usuarios acerca de las funcionalidades maliciosas que esta amenaza podría tener. En unas pocas horas, la cantidad de clics llego casi a los 500.000 y durante este primer período el 67% de las detecciones se encontraron en América Latina. Repercutiendo en distintos medios de comunicación y redes sociales.
Durante el segundo día de actividad se actualizaron los módulos de propagación de la amenaza, incorporando la utilización de otros acortadores de URL como Bit.ly o Fur.ly como algunos ejemplos, lo que continuó atrayendo usuarios y que, engañados a través de esta técnica de Ingeniería Social descargaran actualizaciones de esta amenaza elevando la cantidad de hasta llegar a más de 750.00 clics y contando, en los últimos días continúan las actualizaciones de los códigos maliciosos pero la cantidad de usuarios que están cayendo en el engaño ha disminuido.
Acortadores, efectividad y distribución geográfica
Los cambios en los acortadores de URL parecían una técnica de los cibercriminales para mantener su efectividad en la propagación, y a medida que continúo la emisión de comandos por parte del panel de control ESET reveló más de 30 direcciones URL diferentes acortadas con varios servicios. Del total de direcciones utilizadas, 12 de ellas habían sido acortadas con el servicio provisto por Google (goo.gl), cuyos enlaces dirigían a un código malicioso detectado como Win32/Rodpicom.C, este gusano es el responsable de la propagación de los mensajes a través de Skype, Gtalk y otros servicios de mensajería instantánea.
Si bien al inicio de esta campaña de propagación de código dañino, la mayoría de los usuarios afectados correspondían a América Latina, la variante de Win32/Rodpicom utilizada es capaz de identificar el idioma del sistema y utilizarlo para enviar el mensaje a los contactos del usuario. Esta capacidad fue la responsable de que la dispersión de este código malicioso sea tan masiva y que los reportes se incrementaran luego en Europa y otros continentes. Algunos de los países más afectados fueron Rusia, Alemania, Italia, Brasil, y Colombia entre otros, tal como lo habíamos reportado.