Se ha detectado modalidad de infección focalizada utilizando correo electrónico y oferta de empleo haciendo referencia al sitio web “elempleo.com”, a través de un correo que indica lo siguiente:
From: Danae Abigail Lizana Gonzales [mailto:danaeabiga@danaeabigail.com]
Sent: Domingo, 18 de Julio de 2011 03:29 p.m.To: XXXXXXXXXX
Subject: Curriculum Vitae
Hola el motivo de este curriculum es porque vi su mail através de la pagina de empleos y le adjunto mi curriculum para que revise y conozca con detalle. espero ser la persona adecuada para el puesto que solicita. sinceramente espero conocerlo pronto. hasta luego Danae Abigail Lizana Gonsalez. Vea mi curriculum adjunto y mi perfil.
Una víctima al acceder a la dirección http, encontrará la siguiente página Web (Figura 1). La IP que hace referencia a esta página Web es 65.182.189.107, tiene como país de origen Estados Unidos y no esta reportada como un sitio malicioso.
Figura 1. Página web http://www.danaeabigail.com/
El link permite descarga un archivo zip que contiene un ejecutable (ver figura 2). Dicho ejecutable establece una conexión ftp con la IP 65.182.189.103 (figura 3) que crea un archivo file.bak en la unidad C del sistema afectado. En la IP 65.182.189.103 se encuentra el servicio Pure-FTPd, donde existe el usuario colombia@und3rgr0und4ever con el password saturno66. En el servidor ftp se crea una carpeta específica para el host, es este caso, es la carpeta “DATA-E0B434C8A8-BETA2”.
Figura 2. Ejecutable de curriculum_danae.
Figura 3. Proceso de conexión ftp de la amenaza
La amenaza crea archivos con extensión fp que tienen nombres de archivos de sistema en el directorio C:\windows\prefetch (figura 4). La creación de estos archivos es continua y es posible que afecte el sistema operativo que ha sido infectado. También recolecta información del host que está infectado en archivos de tipo xml. Muy posiblemente, una vez sea recolectada la información, es enviada vía ftp hacia la IP 65.182.189.103 en la carpeta “DATA-E0B434C8A8-BETA2”. Estos archivos xml se muestran en las figuras 5 y 6.
Figura 4. Creación de archivos pf.
Figura 5. Datos recolectados en XML (1)
Figura 6. Datos recolectados en XML (2).
Realizando un análisis al archivo ejecutable, es solamente detectado por dos antivirus que son eSafe y SecureWeb-Gateway, todos los demás antivirus no son efectivos. La amenaza que detectan estos antivirus son del tipo Win32.TRCrypt.fkm y TrojanCryptFKM.Gen respectivamente. Este tipo de amenaza tiene la particularidad de abrir conexiones de red ilícita, puede mutar para evitar la detección y desinfección, desactiva el software de seguridad, modifica archivos del sistema e instala otros archivos maliciosos.
