La botnet Kelihos busca nuevas víctimas aprovechando la tragedia de Boston

Los atentados del pasado lunes en la maratón de Boston han llenado los titulares durante los últimos días. Por desgracia, era cuestión de tiempo que los ciberdelincuentes aprovecharan esta cobertura mediática para propagar sus amenazas, tal y como hemos venido observando en nuestro laboratorio en las últimas horas. Desde la mañana de ayer estamos recibiendo varios correos con un asunto relacionado con el atentado terrorista y un enlace.

eset-nod32-antivirus-botnet-aprovecha-victimas-boston

Parece claro que el objetivo de los ciberdelincuentes es provocar la curiosidad de los usuarios para que pulsen sobre el enlace. Si lo hacemos, accederemos a una web donde se recopilan algunos de los vídeos de las explosiones y, aunque esta web parece no contener nada más, guarda una sorpresa desagradable.

eset-nod32-antivirus-botnet-aprovecha-victimas-boston-2

Si analizamos el código fuente de esta web veremos que solo contiene los enlaces a los vídeos del atentado y, al final de todo, un iframe apuntando a otra dirección sin relación aparente con las anteriores. Este iframe es el que se encarga de redirigir a los usuarios a una página donde se aloja un kit de exploit de la familia Redkit.

eset-nod32-antivirus-botnet-aprovecha-victimas-boston-3

Es en esta web maliciosa donde se activa la cadena de infección que termina instalando una variante del malware Win32/Kelihos (del que contamos con más información en el blog We Live Security de ESET), pasando el sistema infectado a formar parte de esta red de ordenadores zombis. Cabe destacar que esta variante del malware tan solo afecta a sistemas Windows, por lo que si visitamos la web que contiene los vídeos desde un ordenador con Linux o un Mac, no sucederá nada fuera de lo normal. No obstante, no cuesta mucho preparar una nueva variante que afecte también a estos sistemas, por lo que debemos ser precavidos.

eset-nod32-antivirus-botnet-aprovecha-victimas-boston-4

Si contamos con una solución de seguridad como ESET Smart Security 6, capaz de bloquear las páginas web que contienen las amenazas, veremos cómo se nos impide el acceso al sitio malicioso y, en su lugar, nos aparece un mensaje de alerta como el que mostramos a continuación:

eset-nod32-antivirus-botnet-aprovecha-victimas-boston-5

En los últimos meses parecía que las noticias de impacto ya no eran usadas tan frecuentemente por los ciberdelincuentes para propagar sus amenazas, pero casos como el que acabamos de analizar demuestra que esta técnica sigue vigente y cosechando bastante éxito. Es de suponer que en los próximos días sigan apareciendo nuevas amenazas que se aprovechen de esta u otra noticia que haya despertado una importante cobertura mediática, por lo que debemos permanecer alerta y evitar pulsar sobre enlaces sospechosos.

Josep Albors

Un comentario

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..