Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Botnet hace que Skype propague adware
En el pasado las botnets tenían que ejecutarse en los sistemas de los atacantes o en los que habían comprometido, ahora pueden ejecutarse en programas de chat como Skype y en otras aplicaciones basadas --en la nube, proporcionando una alternativa de bajo costo para los atacantes.
Es exactamente lo que ha sucedido en una amplia campaña de phishing contra usuarios de Skype.
Ronnie Tokazowski, investigador en PhishMe, dijo en un análisis que en el ataque se enviaron mensajes en Skype, los atacantes trataron de llamar con un nombre de usuario que también contiene un enlace a un dominio, por ejemplo, www[dot]viewror[dot]com. Una vez que se hace clic, un mensaje de voz indica al usuario dar clic en el enlace de descarga y asi iniciar la instalación de un reproductor de vídeo "legítimo" con el fin de reproducirlo.
Una vez ejecutado el archivo VideoPlayer.exe se solicitan permisos de administrador, después, al usuario se le presenta una pantalla para instalarlo. Tokazowski señala que no hay nada de propietario sobre él. El reproductor multimedia es real, es conocido como Media Player Classic y está disponible como descarga gratuita en línea.
Lo que sí hace, sin embargo, es proporcionar una excusa para instalar y ejecutar bastante código basura, incluyendo varias piezas de adware.
Esta campaña de pishing, llevada a cabo a través de una red de bots en la nube, es, de hecho, parte de un programa de afiliados donde el atacante recibe dinero en función de cada instalación o por descarga.
Pero aún, hay más: "Uno de los pasos finales es instalar Search Protect, una aplicación muy sombría que otorga búsquedas protegidas", dijo el investigador.
Después de la alerta de un usuario sobre la campaña, PhishMe trabajó con Amazon Web Services y Microsoft para interrumpir la botnet, dijo, después de recopilar una lista de dominios y nombres de bots que los atacantes utilizaron.
"Cuando los usuarios están entrenados para detectar cosas sospechosas, la cantidad de información que se puede obtener aumenta cien veces", dijo Tokazowski. "Y en este caso, el usuario reportó una pequeña pieza de información, lo que dio lugar a la interrupción de una gran campaña de adware, tanto en el lado de la infraestructura y de los bots."
