Un malware alojado en Latinoamérica afecta a las redes sociales rusas

Escrito por Rubén Velasco
Redes Sociales
0

Hace pocos días se daba a conocer la existencia de un malware detectado en servidores de 4 países latinoamericanos que está atacando a redes sociales rusas principalmente. Este malware, conocido como Bicololo.A se esconde bajo la apariencia de una imagen, la cual al ser descargada ejecuta un .exe que infecta el sistema.

Como podemos leer en el blog oficial de Eset, este troyano denominado Win32/Bicololo.A se descarga en el equipo simulando ser una imagen de un contacto de la red social rusa. Al intentar visualizar la imagen el malware se ejecuta en el sistema copiando varios archivos al disco duro. Entre los archivos que se copian destacan un batch y 2 scripts de Visual Basic.

El funcionamiento de dicho malware trata de hacer comunicaciones con un servidor externo a través del puerto 1212 (poco común para una conexión http) y descarga ciertos datos de sesión del servidor. Este servidor probablemente es utilizado para almacenar todo tipo de datos del inicio de sesión del usuario.

También el malware se encarga de redireccionar todo el tráfico de unas determinadas webs (redes sociales en concreto) hacia otras direcciones modificadas. Según podemos ver en Eset, al realizar un ping a dichas webs la IP resulta ser la misma entre ellas. El malware es también capaz de suplantar la identidad https, aunque no obtenemos los certificados correspondientes.

malware_bicololo_ping

Las webs que el usuario infectado recibe son aparentemente idénticas a las originales, salvo pequeños detalles como el cambio de idioma y alguna imagen.

Por el momento, los únicos afectados son las redes sociales rusas. Aún no ha afectado a ninguna red social fuera de dicho país pero es posible que los piratas informáticos decidan modificar el código llegando a ser un problema incluso para Facebook u otras redes sociales.

El antivirus Eset Nod23 y los principales sistemas antivirus actuales ya detectan y eliminan este malware antes de ser ejecutado en el sistema. Para evitar ser infectado recomendamos que antes de ejecutar cualquier archivo mostremos especial atención a la doble extensión.