Los autores de malware logran entender que entre más personalizado sea el método de infección hacia una víctima más eficaz será el ataque. Para esto han diseñado una tecnología capaz de encontrar la ubicación geográfica de el usuario y con posibles acontecimientos ficticios hacer más convincente el engaño.

La amenaza del gusano Waledac, cuya difusión se hizo masiva por el Día de los enamorados, sigue latente. Como ya se ha anunciado en el blog de ESET Latinoamérica, sus autores mantienen un constante trabajo por mantener en crecimiento la propagación de la amenaza.

Sobre finales de febrero, cuando el mundo se olvidaba de San Valentín, todos los sitios que contenían la amenaza fueron alterados, modificando sus técnicas de Ingeniería Social por el ofrecimiento de cupones de descuento.

Semanas después el Dia de los Enamorados fue detectada la nueva modificación de las gráficas en los dominios afectados y como es logico las técnicas de engaño. Así por ejemplo, un mensaje de correo electrónico puede llegar a la víctima con el supuesto de que una bomba explotó en su ciudad o cerca de ella. El mensaje contendrá un enlace a un sitio web que se hace pasar por la agencia de noticias Reuters y con contenido malicioso el cual es una variante de el gusano Wadelac.



El nuevo aspecto de esta amenaza es el siguiente:




Como se puede observar, el sitio anuncia un atentado en una ciudad determinada y ofrece un video informativo al respecto. Para visualizar el video, se informa al usuario que debe descargar Flash Player, siendo finalmente un enlace al código malicioso(el gusano Wadelac).

Vale la pena resumir las similitudes, además de los dominios utilizados, que corroboran la continuidad de la amenaza:

* El usuario llega al sitio web a través de un correo electrónico no deseado

* El sitio web posee la descarga de un archivo con extensión .EXE

* El sitio web posee un iframe que utiliza una técnica de Drive-by-Download para infectar

* Los archivos continúan realizando tareas maliciosas similares en los sistemas



El correo electrónico que recibe el usuario mantiene las mismas propiedades que los utilizados anteriormente: pocas palabras y un enlace al sitio malicioso.



Sin embargo, además de la temática, aparecen algunas diferencias en este último cambio:

* El sitio web posee, además de los archivos maliciosos, dos links inofensivos: uno a la Wikipedia y otro a una búsqueda de Google.

* Los nombres de los archivos descargados ofrecen nuevas variantes relacionadas a la temática, como main.exe, contact.exe, news.exe.

* El sitio web anuncia el atentado en diferentes ciudades, según la dirección IP que acceda al sitio web. De esta forma, las atacantes aumentan la probabilidad de que la noticia sea de impacto para el usuario.


En la imagen superior se puede ver un supuesto atentado en la ciudad de Buenos Aires y la siguiente imagen muestra la variación del anuncio, accediendo desde diferentes lugares del mundo:




Los creadores de Waledac continúan trabajando para aumentar la propagación y lograr que esta sea una de las amenazas de mayor difusión en lo que va del año.

Los usuarios de el antivirus eslovaco ESET NOD32 siguen protegidos ante esta cambiante amenaza, ya que los archivos son detectados por heurística como “variantes de Win32/Waledac“.

Fuente