Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/11/2012
El malware Gamarue s'amaga en les confirmacions de reserves d'hotel enviades als usuaris alemanys
Al maig de 2012, els experts en seguretat van començar a emetre avisos sobre confirmacions de reserves d’hotel malicioses dissenyades per a difondre un desagradable programari maliciós. En eixe moment, els correus electrònics estaven destinats als usuaris de parla anglesa, però ara han sigut adaptats per a ser enviats als internautes alemanys.
Els experts de Trend Micro han identificat una notificació malintencionada que pretén provindre de Brenners Park-Hotel and Spa a Àustria. Igual que les primeres variants, els missatges de correu intenten convéncer els destinataris per a obrir un arxiu adjunt que suposadament conté detalls de la reserva.
En realitat, l’arxiu adjunt oculta BKDR_ANDROM.P – una variant del programari maliciós Gamarue/Andròmeda – que és capaç de realitzar les seues tasques malicioses en sistemes basats en Windows XP i Windows 7 (versions de 32 bits i 64 bits).
Una vegada s’infiltra en l’ordinador, el programari maliciós intenta contactar amb un dels seus sis servidors de comandament i control (C&C). El C&C ordena a l’element maliciós que recopile informació des del dispositivo infectat i descarregue un complement addicional d'un lloc australià compromés.
Els investigadors han trobat que un domini .pl – registrat amb Domain Silver Inc. - era l’únic actiu en el moment quan es va descobrir el correu electrònic. Ells van contactar amb CERT Polònia, que van prendre mesures ràpides per a desconnectar-lo.
Esta campanya d’infecció particular pareix haver afectat principalment els usuaris d'Alemanya (30%), Austràlia (25%), Singapur (11%) i Itàlia (8,7%).
Segons els experts, igual que altres amenaces semblants, Gamarue és modularitzat. En este cas particular, el programari maliciós ha sigut xifrat per a impedir als investigadors analitzar-lo en un entorn de màquina virtual.
A més de descarregar arxius, Gamarue també és capaç de modificar registres, connectar-se a URL arbitràries i executar arxius.
Trend Micro està bloquejant activament tots els dominis i enllaços que estan relacionats amb este programari maliciós. A més, els correus electrònics estan bloquejats abans d’arribar a les safates d’entrada.
No obstant això, este cas mostra clarament que els ciberdelinqüents estan treballant constantment a millorar les seues operacions i una "pedra en el camí" probablement no els farà renunciar-hi. Per això, sempre s’aconsella els usuaris que paren atenció quan reben correus electrònics d’este tipus.