Ciberdelincuentes chinos aprovechan la tensión nuclear en Irán

Planta Nuclear De Bushehr, En Irán
Planta Nuclear De Bushehr, En Irán - REUTERS
Publicado: martes, 13 marzo 2012 12:34

MADRID, 13 Mar. (Portaltic/EP) -

Una compañía de seguridad informática ha localizado un nuevo ataque con malware procedente de China que está aprovechando la creciente tensión política creada por el supuesto programa secreto de armas nucleares de Irán, para infectar con malware miles de equipos, posiblemente con la esperanza de infectar al personal militar de EE.UU.

Este ataque dirigido comienza con el envío por correo electrónico de un documento word infectado. El documento, escrito en Inglés, se titula: 'Iran's Oil and Nuclear Situation.doc', es decir, 'Situación nuclear y petrolera de Irán' "y busca sacar partido de la curiosidad del usuario que, sin duda, tendrá interés por abrirlo", ha advertido Bitdefender.

El documento contiene un código que intenta cargar un archivo de vídeo en formato Mp4 desde una web. Este archivo MP4 no es el habitual vídeo de YouTube, sino que ha sido diseñado para incluir una cabecera válida por lo que legítimamente puede identificarse como MP4, pero el resto del archivo está lleno de código malicioso diseñado para aprovechar una vulnerabilidad en Flash (CVE-2012-0754), y permitir la ejecución de otro código malicioso incrustado en el word inicial.

La operación se lleva a cabo de manera encubierta: el archivo MP4 que permite el aprovechamiento de la vulnerabilidad se transmite desde la web, lo que dificulta su detección por las soluciones de seguridad. Además, el archivo malicioso contenido en el word (US.EXE) tiene múltiples capas de cifrado para evadir los antivirus.

CAMBIA CONSTANTEMENTE SU IP

El malware principal, una vez en el equipo, se almacena en la carpeta temporal y se ejecuta. Se trata de un archivo de 4,63 MB que imita la aplicación JavaUpdater y que procede de China. Dentro del archivo, el código malicioso de sólo 22,5 KB intenta conectarse a un servidor que utiliza servicios de DNS dinámico para cambiar permanentemente su dirección IP y evitar así ser localizado.

Después de que infecte el ordenador, este ejemplar de malware (identificado por BitDefender como Gen: Variant.Graftor.15447) empieza a recibir órdenes de su creador, lo que permite a éste tomar el control del ordenador infectado.

"Esto es claramente un ataque dirigido, que pueden tener como objetivo al personal militar de EE.UU. involucrado en las operaciones militares iraníes", ha advertido la jefe de investigación de seguridad de Bitdefender, Catalin Cosoi.

El malware no ha sido enviado mediante una campaña de spam masiva que pudiera afectar a cualquier usuario y tampoco ha aparecido en las direcciones de correo electrónico utilizadas por los fabricantes de antivirus para atraer y atrapar el malware, sino que ha sido dirigido sólo contra unos pocos usuarios.

La experta ha recordado que ya hemos visto en los últimos meses varios ataques contra el gobierno de los EE.UU. procedentes de China, "incluyendo notorios ataques de phishing masivo contra funcionarios de Estados Unidos y Taiwán".