Dorkbot utiliza una campaña de expansión muy estudiada

Estos últimos días hemos hablado un poco sobre el malware Dorkbot. Esta vez explicaremos detalladamente como puede llegar a infectarnos y de que modo se las ingenia para hacerlo. 

Nos llega mediante un e-mail un mensaje de una compañía de telefonía móvil donde nos dicen que hemos ganado un sorteo por haber elegido trabajar con esa compañía. Nos informan del premio, un iPhone 4, y nos dicen de ingresar en un sitio web para pedir el teléfono. La diferencia de este e-mail, es que la técnica de ingeniería Social utilizada es la personalización del mensaje, saludando a la víctima y mencionando la dirección de correo para generar más confianza.

En el mensaje aparece un código numérico a introducir en otro sitio web, que nos pedirá introducir para reclamar el premio. También aparece un formulario falso como parte del engaño. Las dos cosas buscan dar confianza al afectado, pero otra cosa chocante es que aparezca un código QR dentro de la campaña. El código en si no presenta peligro alguno y nos redirige a un sitio de Wikipedia, pero lo utilizan para darle una personalidad añadida al engaño. Ya conocemos algunos casos donde mediante códigos QR conseguían  expandir códigos maliciosos, aunque este caso no lo sea.

Si caemos en la trampa y introducimos el número recibido, iniciamos la descarga del archivo Ganadores.exe, o sea el malware Win32/Dorkbot.B.

Como decía en el título de la entrada, su manera de expandirse es novedosa: código QR para adornar, formulario falso, introducción de códigos, etc.. también ha utilizado Skype para obtener víctimas..

En América Latina el gusano ha reclutado más de 80.000 ordenadores zombis. ESET tiene una herramienta para eliminar este malware, y podéis acceder a ella desde aquí.

Como podemos ver, los ciberdelincuentes mejoran las campañas de distribución de malware mediante la Ingeniería Social. Es importante que si disponéis de información sobre alguno de estos malware, informéis para que la pueda publicar.