Las posibilidades que un usuario posee hoy en día para ponerse en contacto con otro son muchas. Pero esto también aumenta las posibilidades de los ciberdelincuentes para utilizar estos servicios como gancho para distribuir mensajes spam y hacer creer al usuario por ejemplo que tiene un mensaje y así lograr instalar el malware, algo que ha sucedido esta vez con el servicio Voice Mail.
Como suele ser habitual en estos casos se utiliza un alias como dirección de correo electrónico para hacer creer al usuario que la dirección desde donde se ha enviado se encuentra dentro de los dominios que pertenecen al servicio. En el asunto del mensajes (en inglés) se indica al usuario que tiene un nuevo Voice Mail («You have received a new VoiceMail«). Con respecto al cuerpo del mensaje no se puede decir mucho, ya que solo se indica al usuario la fecha y hora a las que se ha recibido el mensaje y la duración de este, indicando en todos los mensajes detectados una duración de 00:03:27.
Como archivo adjunto se incluye un archivo ZIP de nombre VoiceMail.zip que aunque debería contener un mensaje de voz, esto no es así.
Más detalles sobre Win32:MalOb-LL
Aunque era de esperar, muchos usuarios seguramente no se percatarían de que el archivo comprimido no contiene un archivo de audio, sino un archivo .exe que se identifica con el nombre de VoiceMail.exe. Varias empresas dedicadas a temas relacionados con la seguridad informática han llevado a cabo un análisis de este malware y han obtenido algunos resultados interesantes, aunque aún poseen ciertas dudas sobre su funcionamiento.
En primer lugar hay que decir que el virus es detectado por la mayoría de los antivirus y ningún motor lo ha detectado como un archivo legítimo. Lo que resulta necesario en estas situaciones es mantener siempre nuestra herramienta de seguridad actualizada.
Suponiendo que el archivo se ejecuta y que el sistema no posee ningún tipo de herramienta de seguridad, lo primero que hará este será descargar un archivo procedente de dos direcciones:
- egozentrica.com/wp-app/uploads/2014/07/tor2800_2.7z
- reneerlaw.com/wp-app/uploads/2014/07/tor2800_2.7z
Se ha comprobado que bloqueando estas dos direcciones la instalación del malware no progresa, por lo que resulta muy probable que el archivo cifrado que se descarga sean los comandos para poder realizar la instalación en el sistema. Una vez que se ha descargado este archivo se replica en dos procesos legítimos y pertenecientes al sistema operativo Windows: explorer.exe y svchost.exe, dos procesos más que conocidos para más de uno.
A falta de obtener más detalles, se ha visto que el malware posee un keylogger que graba la actividad del teclado del usuario guardando los datos recopilados en un archivo ubicado en la carpeta TEMP del directorio del usuario.
Fuente | Dynamoo´s blog