Falsos sitios de Windows Live Mail para intentar difundir malware

Buenas,

He estado repasando una cuenta que tengo en Windows Live Mail a modo de pozo de spam. Tengo esta cuenta porque, tras algunos años haciendo seguimiento al correo basura, y no hay que ser un lumbreras para determinar esto, resulta más que obvio que hay determinados patrones de spam que se segmentan en función al correo del destinatario. Hay muchos mensajes spam orientados única y exclusivamente a los usuarios del antiguo Hotmail, hoy renombrado a Windows Live Mail.

Uno de los ataques más frecuentes es la suplantación de la imagen corporativa de Windows Live Mail, lo que resulta especialmente peligroso, ya que hay una porción de usuarios muy elevada en Live Mail cuyos conocimientos de seguridad, sea por la razón que sea, es netamente inferior al mínimo exigible para salir a Internet con unas mínimas garantías. Pasa igual con otros cientos de Webmails, por ejemplo Yahoo!, ya que estos medios suelen estar vinculados a servicios típicamente usados por primeros adoptantes, y me refiero a la mensajería instantánea. Cuando en el cóctel mezclamos pocos conocimientos de seguridad y poca experiencia con un ordenador en Internet, la combinación siempre resulta letal.

No quiero decir con esto que todos los usuarios de Windows Live Mail o Yahoo! Mail sean primeros adoptantes, ni que ninguno tenga nociones de seguridad. Nada más lejos de la realidad. Este comentario sólo pretende ilustrar que hay determinados servicios donde concurre una masa muy elevada de usuarios, y que cuando hay una masa elevada, es natural encontrar usuarios con perfil muy bajo en conocimientos, generalmente por tratarse de primeros adoptantes, o simplemente de usuarios que llevan tiempo trabajando en Internet únicamente contra servicios masivos de poca especialización.

En uno de estos mensajes de mi pozo de spam, me he topado con una presunta comunicación a usuarios de Live Mail, que conduce a un sitio tal y como se muestra:

He marcado en rojo el enlace que, una vez pulsado, descarga un ejecutable en la máquina. Lo sometemos a análisis (vía http://virusscan.jotti.org/)

Quiero aclarar en este punto que, en el caso de NOD32, la copia local que tengo en la máquina Windows SI reconoce la muestra como probable malware. Esto me hace pensar que el fichero podría contener cadenas suficientes para disparar las firmas/heurística de NOD, pero que realmente, por la razón que sea, podría haber algún tipo de corrupción en el mismo. Efectivamente, así es: una pasadita por el IDA lo confirma (file structure error, imposibilidad de leer descriptores, file read error), y un envío al Sandbox de Norman lo ratifica:

[ DetectionInfo ] * Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
* Compressed: NO
* TLS hooks: NO
* Executable type: Application
* Executable file structure: DAMAGED

Este ejecutable pretendía ser un hermano de la familia BanLoad, concretamente una variante de Win32/TrojanDownloader.Banload.CZK, una firma conocida por NOD desde julio de 2007 (NOD32 – v.2643). Estos downloaders sirven para, una vez instalados en el equipo de la víctima, abrir las puertas a troyanos secundarios, que son descargados al equipo sin que el usuario advierta anormalidad alguna. En este caso, estamos de enhorabuena: el troyano está mal compilado, y no funciona.

De todos modos, sirva el ejemplo para extremar precauciones. Cuidado con las comunicaciones que recibís por correo. Como siempre, el consejo a ofrecer es no hacer caso al correo de origen desconocido y/o emitido en lenguas foráneas, y no seguir los enlaces que se nos ofrezcan en los mensajes.

Un saludo,