Cibercriminales aprovechan la masacre que golpeó al semanario Charly Hebdo para lanzar el malware DarkComet RAT

Desde Blue Coat monitorean las actividades de este malware para informar sobre sus alcances

Es bastante común que los malhechores intenten explotar las noticias de actualidad para llamar la atención de usuarios y conseguir que se ejecuten programas malintencionados

De modo habitual, en Blue Coat mantienen una alerta permanente ante tales prácticas, lo que ha permitido identificar un malware (md5 hash 3c5266cab10c78f3a49985806c217a40) que, oculto en mensajes titulados “Je suis Charlie” ha empezado a circular viralmente tras la masacre que ha golpeado a la redacción del semanario Charlie Hebdo en Paris.

El malware en cuestion es el famoso DarkComet RAT (conocido como Fynlonski), una herramienta gratuita de administración remota que también ha servido como puerta trasera para la entrada de un potente troyano. DarkComet fue inicialmente creado por el hacker francés DarkCoderSc, que abandonó su desarrollo en 2012. Sin embargo, su facilidad de uso y la riqueza y variedad de sus características, lo han mantenido a la cabeza en su utilización por todo tipo de atacantes, desde “script kiddies” y activistas hasta actores mucho más perversos.

La variante utilizada en el presente ataque está oculta para evitar ser detectadas por los escáners AV. El código DarkComet Delphi está oculto dentro de un envoltorio .NET, haciendo que las señales de DarkComet muy difíciles de ser percibidos. Más aun, los índices de detección AV de este ejecutable, a la hora de redactar este texto, son bastante bajos, sólo 2 de 53 escáners son capaces de hacerlo online.

Este malware descarga una copia de sí mismo con el nombre svchost.ext y lanza la imagen de un recién nacido, con una etiqueta que lleva el nombre “Je suis Charlie”. La imagen parece haber sido tomada de fuentes públicas.

El ejemplo también lanza un mensaje en francés para despistar al usuario y hacerle creer que el binario ha sido creado en una versión previa de MovieMaker

Los host de control y command son un subdominio dentro del dominio DNS dinámico no-ip. Este es un servicio DNS dinámico legítimo muy conocido, que muchas veces ha sido utilizado por actores maliciosos.

La dirección actual del dominio es snakes63.no-ip[.]org

Este link dirige a una dirección IP localizada en Orange en Francia. La dirección IP francesa y el mensaje de error en francés refuerza la impresión de que el malware ha sido diseñado pensando en usuarios franceses. Blue Coat ya ha informado a las autoridades francesas de la existencia de este malware.

Desde Blue Coat van a seguir monitoreando las actividades de este malware y se mantendrá y difundirá esta información.

Por lo pronto debemos estar alertas por si otros cibercriminales quieren aprovecharse de estas noticias de gran interés para todos.  Lamentablemente no hay ningún evento sensible del que los criminales no traten de aprovecharse.

You can follow any responses to this entry through the RSS 2.0 feed.You can skip to the end and leave a response. Pinging is currently not allowed.

Leave a Reply

--------