Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/06/2013
Cuc en Skype: Rodpicom acumula més de 700 mil clics i es confirmen nous mitjans de propagació
Durant la vesprada de dilluns de la setmana passada, milers d’usuaris van començar a rebre distints missatges dels seus contactes amb un enllaç que suposava ser una foto que els involucrava, però que en realitat propaguen un codi maliciós reconegut com una variant de Win32/Gapz.E, en realitat pertanyent a una família d’amenaces coneguda com Win32/powerloader.A.
Este codi maliciós, infectava l’equip i començava a propagar a tots els seus contactes els mateixos missatges amb què l’usuari s’havia infectat, la seua detecció s’associa a la utilització d’un avançat packer conegut com Power Loader, que és capaç de botar les proteccions del sistema i injectar un dropper directament en un dels processos principals del sistema: explorer.exe.exe.
A mesura que les hores van passar, distints enllaços acurtats per goo.gl van rebre uns quants milers de clics. Això elevà els nivells d’alerta i preocupà els usuaris sobre les funcionalitats malicioses que esta amenaça podria tindre. En unes poques hores, la quantitat de clics arribà a quasi els 500.000 i durant este primer període el 67% de les deteccions es van trobar a Amèrica Llatina, on va repercutir en distints mitjans de comunicació i xarxes socials.
Durant el segon dia d’activitat, es van actualitzar els mòduls de propagació de l’amenaça, incorporant la utilització d’altres acurtadors d’URL com ara Bit.ly o Fur.ly, la qual cosa va continuar atraient usuaris que, enganyats a través d’esta tècnica d’Enginyeria Social, descarregaren actualitzacions d’esta amenaça i elevaren la quantitat fins a més de 750.000 clics. En els últims dies continuen les actualitzacions dels codis maliciosos, però la quantitat d'ususaris que cau en l'engany ha disminuït.
Acurtadors, efectivitat i distribució geogràfica
Els canvis en els acurtadors d’URL pareixien una tècnica dels cibercriminals per a mantindre la seua efectivitat en la propagació, i a mesura que continue l’emissió de comandos per part del panell de control ESET va revelar més de 30 direccions URL diferents acurtades amb diversos servicis. Del total de direccions utilitzades, 12 d’elles havien sigut acurtades amb el servici proveït per Google (goo.gl), els enllaços del qual dirigien a un codi maliciós detectat com Win32/Rodpicom.C, este cuc és el responsable de la propagació dels missatges a través de Skype, Gtalk i altres servicis de missatgeria instantània.
Si bé a l’inici d’esta campanya de propagació de codi danyós, la majoria dels usuaris afectats corresponien a Amèrica Llatina, la variant de Win32/Rodpicom utilitzada és capaç d’identificar l’idioma del sistema i utilitzar-lo per a enviar el missatge als contactes de l’usuari. Esta capacitat va ser la responsable que la dispersió d’este codi maliciós fóra tan massiva i que els reports s’incrementaren després a Europa i altres continents. Alguns dels països més afectats van ser Rússia, Alemanya, Itàlia, el Brasil, i Colòmbia entre altres, segons comunicaren.