Una nueva campaña de malware ha sido ubicada enviando mensajes de spam con un programa de descarga ofuscado con JavaScript. El Internet Storm Center del SANS (ISC) mencionó que hace dos días se observó un gran flujo de mensajes spam, los cuales incluían archivos adjuntos .js.

El archivo JavaScript ofusca un programa de descarga que, una vez instalado en un equipo, contacta a un número de dominios que buscan a los malware Kovter o Miuref.

El éxito de este esfuerzo, sin embargo, podría ser de corta duración ya que es bastante simple para los motores de spam filtrar archivos .js.

"Sólo lo veo como un formato diferente a los archivos .exe comprimidos que vemos con algunos de los otros spam de malware basados en botnets", dijo Brad Duncan del ICS, quien también es administrador e investigador del centro de operaciones de seguridad de la información de Rackspace. "No debería haber razón en el ámbito laboral para permitir este tipo de archivos. Otros correos spam de malware basados en botnet envían archivos comprimidos .EXE que también se filtran fácilmente. A mi parecer esto es otro intento bastante inútil de llenar de malware las bandejas de entrada en el mundo".

Algunos de los mensajes observados por Duncan buscan imitar mensajes de cargos de peaje E-ZPass sin pagar, citatorios para la corte o facturas de entrega. Los nombres de archivo y los hashes de los archivos adjuntos y archivos extraídos se encuentran disponibles en el sitio web del SANS ISC.

En un entorno de prueba, Duncan dijo que observó tres archivos ejecutables haciéndose pasar por imágenes GIF descargadas por los archivos .js y peticiones POST enviadas a través de HTTP para Kovter; una parte del tráfico también lanzó alertas para las muestras Miuref y Boaxxe.

Ambos conjuntos de malware se han propagado principalmente a través de kits de explotación o campañas de publicidad maliciosa. En enero, la compañía de seguridad Cyphort informó que la versión canadiense de Huffington Post almacenaba anuncios maliciosos de una red de publicidad de AOL que redirigía a una página que distribuía un kit de explotación. El kit lanzaba un exploit para una vulnerabilidad de Adobe Flash, así como una secuencia de comandos de VisualBasic (VB) que descargaron el malware Kovter. Además del Huffington Post, otros sitios concurridos como FHM.com, houstonpress.com, soapcentral.com y gamezone.com entre otros también estaban alojando publicidad maliciosa.

"Por lo general he encontrado a Kovter y Miuref asociados a tráfico de kits de explotación. Sin embargo, no hay nada que impida a los troyanos del tipo fraude por clic ser enviados a través de spam", dijo Duncan, quien agregó que se especializa en la investigación de kits de explotación. "Cualquier ejecutable utilizado como una carga útil para un kit de explotación también puede ser utilizado como una carga útil de segunda etapa para un malware .js, o aquellos EXE pueden ser comprimidos y enviados como archivos adjuntos. CryptoWall 3.0 es un buen ejemplo".

Las infecciones de Kovter no se limitan a fraudes en un clic. Algunas variantes distribuyen ransomware.

"Supongo que lo que sea más rentable para los criminales que tratan de difundir el malware. ¿Qué tan caro es un kit de explotación en comparación con una botnet de spam y malware- ", dijo Duncan. "¿Qué tan eficaces, en general, son las tasas de infección- Yo no podría decirte eso. Al igual que un inversionista tratando de diversificar su cartera, una organización criminal utiliza diferentes métodos para la distribución de su malware".