Serviços de Reputação Web (WRS - Web
Reputation Services) encontraram spam de URLs encurtadas maliciosas
no Twitter que aparentemente contêm um arquivo .JPEG de um
domínio do Facebook. Na verdade, este arquivo .JPEG não é uma foto,
mas um arquivo executável já detectado pela Trend Micro como WORM_KOLAB_SMQX.
Verificando o arquivo de imagem
através da funcionalidade de busca do Twitter, descobrimos
uma lista atualizada de usuários que tuitaram o mesmo link
malicioso.
Ao clicar no link, o usuário é
redirecionado a uma URL encurtada do Twitter
(http://t.co), cujos usuários são, em sua maioria, da
Indonésia. Para atrair cliques à URL, os cyber criminosos
incorporaram Facebook.com ao link onde o arquivo malicioso está
hospedado. Quando clicado, o link leva o usuário a
facebook.com.{BLOCKED}E-505.tk, que contém o arquivo
http://{BLOCKED}f.by/images/news/Photo-G0571.jpg.exe para
download e está incluído no frameset do
facebook.com.{BLOCKED}e-505.tk. Desde 2 de setembro de
2011, aproximadamente 600 tuítes com o mesmo link foram
postados.
|
Figura 1. Links
maliciosos no Twitter
|
When users post a Tweet, it is
followed by the malicious link,
http://www.facebook.com.{BLOCKED}e-505.tk/Photo-G05971.jpeg,
with the text "hahaha!!!" It is also used in the re-Tweet and reply
feature of Twitter.
|
Figura 2. Links
maliciosos retuitados
|
O que acontece depois de executar o
arquivo malicioso? Ao verificar Configurações Locais,
vimos que o arquivo cria um diretório chamando aaa com os seguintes
arquivos:
- • 3kal.cmd: Lote de arquivos que contém o comando para
execução do mamatije2.exe.
- • hsbca.exe: Um arquivo comum (Hidden Start
v3.2).
- • mamatije2.exe: Já detectado como HKTL_BITCOINMINE.
O arquivo mamatije2.exe é
um extrator de dados que se conecta ao link malicioso
http://y.{BLOCKED}AME:8332/ com o nome de usuário
mrdd_ludacha e senha mama1. As credenciais de
login não funcionam e é exibido uma mensagem de requisição inválida
(HTTP 400). Bitcoins são moedas digitais que podem ser enviadas
pela internet através de programas de compartilhamento peer-to-peer
(P2P). Bitcoins são gerados na internet com a execução de uma
aplicação de extração gratuita do Bitcoin.
Além de outros tuítes, ele se
conecta a outros sites maliciosos que hospedam os seguintes
arquivos maliciosos:
- •
http://robertpattinson.{BLOCKED}ion.org/pictures/Calc-3-9-2011.jpg:
Detectado pela Trend Micro como HKTL_BITCOINMINE.
- •
http://{BLOCKED}alokab.go.id/images/news/JohnLennon-Imagine.exe:
Detectado como WORM_KOLAB.SMQX.
Note que eles utilizam nomes de
celebridades como Robert Pattinson e John Lennon.
Todas as URLs relacionadas já estão
sendo bloqueadas e todos os arquivos já detectados como
WORM_KOLAB.SMQX pela Trend
Micro Smart Protection Network.