• Tweet

La muerte de Osama bin Laden es aprovechada por todos, especialmente por los autores de correo basura (spammers) y los estafadores en línea, su más reciente creación pareciera también ser la última encarnación de un montón de temas sobre política y economía enviado a través de correos maliciosos, teniendo como objetivo a quienes trabajan para el gobierno de Estados Unidos.

Un correo que en el asunto tiene: “FW: Courier who led U.S. to Osama bin Laden's hideout identified” insiste al receptor en descargar y abrir el archivo Laden’s Death.doc.

El archivo fue obviamente diseñado de tal manera que trata de tomar ventaja de la vulnerabilidad de desbordamiento de pila en archivos RTF (RTF Stack Buffer Overflow). Si tiene éxito, explota un shellcode y lanza un archivo llamado server.exe y lo ejecuta.

De acuerdo con F-Secure, el archivo ejecutado lanza otro archivo en el sistema y trata de secuestrar el servicio DHCP modificando el registro. Es entonces cuando trata de conectarse a un servidor C&C de nombre ucparlnet.com

El objetivo principal de esta versátil pieza de malware es que puede robar y enviar información a servidores remotos, descargar más malware en el sistema y puede actuar como un servidor proxy troyano.

De acuerdo con el número de muestras recogidas por contagio malware dump, correos similares que contienen archivos .doc parecidos, han sido enviados a trabajadores del gobierno de los Estados Unidos desde hace tiempo, tentándolos con asuntos como “Fwd: China-U.S. Trade Issues” y “FW: U.S economy slips to 4th in WEF’s competitiveness rankings.”