Monetización de la muerte del Chespirito

28 nov. 2014
Dmitry Bestuzhev

Apenas los medios de información anunciaron la muerte del actor Roberto Gómez Bolaños 'Chespirito', los criminales cibernéticos no tardaron en lanzar sus ataques. Tan solo pocas horas después registramos el primero de ellos donde el modo de monetización es a través de la propaganda o la publicidad pagada que se le muestra al usuario cuando éste da click en el enlace distribuido a través del twitter. El twitt original se ve así:

 

ScreenShot2014-11-28

 

Algo importante es que aparte de la publicidad, dependiendo de la ubicación geográfica del usuario, éste recibe diferente tipo de contenido. En algunos casos es la publicidad de artículos de promoción o programas de ventas que prometer aumentar los ingresos:

 

ScreenShot2014-11-28_2

Pero en otros casos lo que recibe el usuario es sencillamente un programa de código potencialmente malicioso que se descarga al sistema:

 

ScreenShot2014-11-28_3

De acuerdo al sistema operativo del usuario, se le descarga el binario para OSX o para Windows. En mi caso he recibido el binario para Mac que Kaspersky Anti-Virus detecta como un programa potencialmente peligroso con el veredicto: not-a-virus:AdWare.OSX.Geonei.b

 

ScreenShot2014-11-28_4

 

De acuerdo al servicio del VirusTotal, por el momento 14 de 56 Anti-Virus detectan esta amenaza: https://www.virustotal.com/en/file/3be60b9dd5e92a3ae10c39c26b528136dd06a799778db83daf516bb001911b84/analysis/1417232810/


Los que están detrás de esta campaña se han asegurado de mostrar el contenido ajustado a la dirección IP o la posición geográfica de los que dan click en ese enlace de la noticia de la muerte del actor Roberto Gómez Bolaños 'Chespirito'. Es lamentable observar como los criminales cibernéticos utilicen los momentos como este para lograr sus objetivos maliciosos.

 

Actualización 1: 2 de Diciembre 2014

Nueva campaña maliciosa ahora en Español

E-mails con la ingeniería social

Acabamos de registrar una ola de mensajes e-mail enviados en el nombre del canal Televisa donde supuestamente la “familia de Chespirito demande a sus médicos por negligencias”.

Dichos mensajes son falsos y vienen con adjunto comprimido como se puede ver en la imagen a continuación:


ScreenShot2014-11-28_5


Después de descomprimir el archivo adjunto, la víctima llega a tener el archivo malicioso llamado “Noticias_Chespirito.doc

ScreenShot2014-11-28_6

Si la víctima abre el documento, se le pedirá habilitar los Macros de modo que supuestamente podrá ver el contenido del documento:


ScreenShot2014-11-28_7

Archivo malicioso

Si la víctima habilita los Macros, entonces automáticamente se le descarga a la máquina otro programa de código malicioso del tipo Backdoor ubicado en un servidor de Dinamarca:


ScreenShot2014-11-28_8


Kaspersky Anti-Virus detecta dicha amenaza como Backdoor.Win32.Androm.fnef


Al final la víctima no puede leer nada pero sí recibe otro mensaje de aviso: “Este documento no es compatible con este equipo. Por favor, intente desde otro equipo

De esta manera los criminales se ingenian la forma de propagar su amenaza en la mayor cantidad de los equipos!


El archivo original infector “Noticias_Chespirito.doc” es detectado por Kaspersky Anti-virus con el veredicto Trojan-Downloader.MSWord.Agent.dg


Por el momento, solo 10 antivirus de los 55 que hay en el VirusTotal, detectan esta amenaza: https://www.virustotal.com/en/file/f6d70da332d9d75d056d29016324bf8dd8f37dca7a4dd63a350578ed92ee066a/analysis/



Me puede seguir en el twitter: @dimitribest

 

  COMPARTIR ESTA PÁGINA

         
Rocket Fuel