Investigadores del Centro de Seguridad de Internetwork Bach Khoa en Hanoi, Vietnam, reportaron que una nueva pieza de malware llamada “XmasStorm” por el Centro, se estar esparciendo a través del spam con temas relacionados a las festividades.
Con asuntos como “Merry Xmas!” (“¡Feliz Navidad!”) y “Merry Christmas card for you!” (“¡Una tarjeta de Feliz Navidad para ti!”), el spam incluyen vínculos a sitios que supuestamente hospedan las tarjetas de felicitación que esperan a ser recibidas. De hecho, estos sitios hospedan el malware que secuestra la PC del visitante y entonces instala un bot que espera por instrucciones de los hackers que lo controlan.
Nguyen Minh Duc, el manager del grupo de seguridad de Bach Khoa, dijo que el XmasStorm se originó en China. Los hackers han registrado al menos 75 nombres de dominios en el último mes relacionados al tema de las fiestas, incluyendo “superchrismasday.com” (“superdiadenavidad.com”) y “funnychristmasguide.com” (“graciosaguiadenavidad.com”). De acuerdo a búsquedas de WHOIS, esos dominios se registraron a una dirección china el 1 de diciembre y el 19 de diciembre, respectivamente.
“Las ocasiones especiales como Navidad o Año Nuevo siempre tienen periodos en que los hackers distribuyen virus a través de falsas cartas electrónicas con códigos maliciosos”, dijo Nguyen en un e-mail el miércoles. “Por lo tanto, los usuarios deben tener cuidado de recibir felicitaciones por correo electrónico por parte de fuentes desconocidas, para estar seguros”.
Se han monitoreado ataques similares por otros investigadores, incluyendo los de ESET LLC, una compañía de seguridad eslovaca que tiene oficinas en San Diego. El lunes, el investigador de ESET Pierre-Marc Bureau reportó una punta en el spam de las festividades que apuntaba a sitios que hospedaban un archivo llamado “ecard.exe”, que no era, por supuesto, una tarjeta de felicitación sino un malware.
“La razón por la que esta ola ha captado nuestra atención es que es muy similar a los ataques del gusano Storm que se vieron el año pasado”, dijo Bureau en un e-mail.
Aunque Storm usó una amplia variedad de estratagemas durante el 2007 y principios de 2008, hace un año se basó en una campaña de spam que trataba sobre saludos por el Año Nuevo. Justo antes de que esos mensajes llegaran a los buzones de entrada, los creadores de Storm trataron de tentar a los usuarios de computadoras a que hicieran clic en vínculos que promovían pornografía con temas navideños.
“[Pero] esta no es la resurrección del botnet Storm”, advirtió Bureau. “El análisis del binario prueba que es diferente. Fue programado usando un lenguaje de programación diferente e incluye funcionalidades diferentes”.
Aunque los investigadores de Microsoft Corp. dijeron que la Herramienta de Remoción de Software Malicioso (Malicious Software Removal Tool o MSRT) de la compañía había sometido a Storm a principios de este año, otros analistas de seguridad han discutido acerca de la desaparición del botnet.
“Lo que estamos observando hoy es prueba de que los autores del malware están aprendiendo de los errores y éxitos de los demás”, dijo Bureau. “Después de ver que Storm fue capaz de infectar miles de sistemas el año pasado con ingeniería social asociada a la Navidad, los criminales detrás de otras familias de malware ahora están tratando de emular ese éxito”.