La compa??a antivirus SunBelt dio la voz de alarma a finales de marzo. Se utiliz? contra ella un tipo de ataque personalizado que romp?a las reglas habituales del spam masivo, impersonal y poco sofisticado. Una supuesta carta de la BBB (Better Business Bureau), perfectamente personalizada y redactada, instaba a la ejecuci?n de un programa. Al parecer este malware ya ha infectado a m?s de 1.400 directivos.En el correo se explica que alguien ha interpuesto una queja contra la compa??a y se pide la descarga de una supuesta imagen que resulta en realidad un ejecutable. BBB es una organizaci?n americana que arbitra entre usuarios y consumidores, una especie de oficina del consumidor. En el correo electr?nico, con una cuidada ortograf?a, se menciona con nombres y apellidos a personas reales pertenecientes a la empresa (habitualmente directivos), de forma que la primera impresi?n es que la acusaci?n interpuesta puede ser real y que verdaderamente alguien se ha quejado de los servicios de la compa??a. En otras versiones todav?a m?s sofisticadas de la estafa, se usa un documento RTF adjunto en el que se incrusta un objeto OLE que no es m?s que un archivo ejecutable.

Aunque el hecho de descargar un ejecutable pueda hacer sospechar a muchos usuarios, si el atacado se fiase ciegamente de su antivirus, los resultados podr?an ser desastrosos. En el momento en que SunBelt recibi? el correo, utiliz? VirusTotal.com para comprobar que el malware era detectado s?lo por seis (de 32) antivirus y ninguno con firma espec?fica, lo que delataba su “frescura”.

El malware en cuesti?n se basa en una de las t?cnicas preferidas de los troyanos bancarios hoy d?a. Se incrusta en el navegador Internet Explorer en forma de BHO (Browser Helper Object) y es capaz de a?adir campos a formularios de cualquier p?gina o modificar el comportamiento de formularios existentes para que la informaci?n viaje hacia el atacante en vez de ir al servidor al que est? destinada. De nada sirve el cifrado y la autenticaci?n SSL pues el “ataque” se lleva a cabo a un nivel incluso inferior. SecureWorks traz? la actividad del malware hasta llegar al servidor (comprometido) donde se alojaban los datos robados. Estimaron que exist?an 1.400 v?ctimas por el momento, y que acumulaban hasta 70 megas de datos robados por d?a. Sin duda un ataque poco difundido pero con un porcentaje de “?xito” mucho mayor que los habituales que se env?an de forma indiscriminada.

Los nombres de usuarios y sus compa??as hab?an sido cuidadosamente recopilados por los atacantes antes del env?o del spam y la posterior infecci?n. Esta experiencia viene a demostrar que, si realmente se lo proponen, el nivel de especializaci?n del spam y distribuci?n de malware puede llegar a ser sumamente sofisticado y efectivo si se segmenta correctamente y dedican algo de tiempo a investigar los potenciales objetivos. Si todav?a se usa una traducci?n penosa y un spam masivo para distribuir malware, es porque incluso as? es efectivo. A medida que esta t?cnica deje de dar resultados, la industria del malware mejorar? sus ataques, y ya est?n demostrando que son capaces de hacerlo.

Por otro lado, despu?s de este incidente, en Hispasec decidimos investigar c?mo influ?a en los sistemas de detecci?n el uso de archivos RTF como “contenedores” de ejecutables. Seg?n un peque?o estudio realizado por Bernardo Quintero, descubrimos que el hecho de que el ejecutable viniese incrustado en un documento RTF imped?a que muchos antivirus lo reconociesen como tal. De esta forma, el archivo RTF pasar?a inadvertido para un primer nivel de defensa perimetral hasta que el ejecutable fuese “desenganchado” del documento y ejecutado aparte. En concreto el malware en bruto era reconocido por 18 antivirus, mientras que incrustado en el RTF era solo detectado por 12 compa??as (siempre usando VirusTotal.com y sobre 32 motores).

M?s Informaci?n:

BBB Phishing Trojan
http://www.secureworks.com/research/threats/bbbphish

Phony BBB email dupes more than 1,400 execs
http://go.theregister.com/feed/http://www.theregister.com/2007/05/30/bbb_spear_phishing/

Seen in the wild: Extremely dangerous Better Business Bureau spam with
malware
http://sunbeltblog.blogspot.com/2007/05/seen-in-wild-extremely-dangerous-better.html

6.308 mensajes en el buz?n… alguno con RTF
http://blog.hispasec.com/laboratorio/219

BBB issues second alert for email trageting consumers and businesses
http://orwwa.bbb.org/release.html?value=61