Emails anuncian falsas muertes de celebridades para propagar malware

El uso de personas famosas como reclamo para engañar a los usuarios (normalmente movidos por el morbo que generan) y hacer que pulsen sobre enlaces o ejecuten archivos adjuntos maliciosos, es algo frecuentemente usado por los creadores de malware. Este pasado fin de semana hemos podido comprobar como una nueva campaña de propagación de malware se difundía usando como asunto del mensaje la muerte de varias celebridades.

En nuestro laboratorio hemos recibido bastantes mensajes con diferentes artistas en el asunto pero siempre con el mismo mensaje en inglés. En ese mensaje se nos informa de que una persona famosa (Madonna, Jeniffer Lopez, Justin Timberlake, Miley Cyrus, etc.) ha fallecido junto con otras 34 personas en un accidente aéreo cuando intentaban aterrizar en el aeropuerto de Dubrovnik, debido a una intensa lluvia y pobre visibilidad. Obviamente, esta noticia es falsa y solo pretende captar la atención del usuario para que ejecute el archivo adjunto.

El archivo adjunto es un fichero .html que, en el caso de que lo ejecutemos, intentará acceder a una web maliciosa alojada en un dominio de México y, una vez allí, descargar un troyano que es detectado como HTML/IFrame.F por las soluciones de seguridad de ESET. En el momento de escribir este artículo, el sitio ya era detectado y bloqueado por la mayoría de navegadores actuales pero algunos sistemas con navegadores antiguos como Internet Explorer 6 podrían no alertar al usuario de esta amenaza.

La propagación de este tipo de amenazas, camufladas en archivos html es una tendencia bastante frecuente en los últimos meses. Al no ser una extensión de las que los usuarios consideran peligrosas, la posibilidad de que pulsen sobre estos archivos es bastante mayor que en correos con otro tipo de ficheros adjuntos. Asimismo, a muchos filtros antispam aun les cuesta detectar amenazas en estos archivos puesto que el código malicioso suele encontrarse en un enlace preparado con ese fin y no en el correo. Las soluciones de seguridad de ESET detectan a los archivos adjuntos html como un troyano JS/TrojanDownloader.Pegel.BZ.

Desde el laboratorio de ESET en Ontinet.com aconsejamos a los usuarios que no se dejen llevar por el morbo que suelen provocar estas falsas noticias propagadas por email o, más recientemente, redes sociales como Facebook, Tuenti o servicios como Twitter. Los creadores de malware siempre intentarán aprovecharse de la curiosidad de la gente para propagar sus creaciones, así que lo mejor es no seguirles el juego. Adicionalmente, la descarga e instalación de un antivirus capaz de frenar este tipo de amenazas es una defensa esencial para mantener nuestros sistemas protegidos cuando nuestra curiosidad nos juega una mala pasada.

Josep Albors

Vulnerabilidad en la carga dinámica de DLL