Supuesto comentario de Facebook redirige a una descarga de Malware

Un usuario reportó al UNAM-CERT haber recibido una notificación de un supuesto comentario en Facebook hecho por alguno de sus amigos, lo extraño fue que nuestro informante no conocía al remitente y tampoco figuraba entre sus contactos. La notificación contenía varias ligas que al ser consultados descargaban el malware Video_Multimedia.exe desde un sitio web comprometido.

Al seleccionar cualquiera de las siguientes ligas el usuario es redirigido a un sitio ubicado en Kazajstán que puedo haber sido vulnerado para alojar al malware:

- Foto de la chica

- Leer más...

- Ver el video...

- Instala gratis tu facebook en tu celular

El sitio malicioso que distribuye el malware usa un script en lenguaje PHP para redireccionar al nombre del archivo ejecutable e iniciar la descarga.

La ejecución de la muestra de malware lanza dos procesos, uno de ellos en la sección Nombre de la Compañía de la herramienta Process Explorer, muestra la entidad que supuestamente lo programó, tiene como valor la dirección URL de un dominio alojado en Suiza y se muestra a continuación:

En cuanto a la actividad de red, la muestra establece conexión hacia el puerto 80 de un sitio malicioso alojado en Estados Unidos, las conexiones son intermitentes ya que el malware se comunica cada cierto tiempo con el C&C a la espera de instrucciones: la sesión establecida con el servidor remoto tiene una duración aproximada de 6 segundos y la espera para el siguiente establecimiento de sesión es de alrededor de 35 segundos. Dicho sitio, al ser consultado desde un navegador muestra el siguiente mensaje:

Los cambios que realiza la muestra en el sistema de archivos es una replicación de sí misma en la ruta: C:\WINDOWS\system.

En el Registro de Windows crea una llave con el nombre: Windows Player y con valor: "C:\Windows\system\csrcs.exe" que es la ruta donde se replicó el malware. Con estas dos acciones (replicarse y crear una llave de registro) garantiza en cada inicio de sesión del equipo su ejecución para conectarse a un servidor remoto.

Adicionalmente deshabilita dos llaves de registro: UACDisableNotify yEnableLUA, lo que provoca que no se muestre la notificación de seguridad User Account Control (UAC) para confirmar que realmente se desea realizar una tarea en el sistema o la ejecución de una aplicación, con lo cual el malware puede hacer muchos cambios en el equipo sin consentimiento del usuario.

También modifica el archivo hosts agregando solo dos cadenas que no hacen resolución de dirección IP a dominio. 

Al realizar un análisis de cadenas se encontró el Nombre de la Compañía y el nombre original del malware: TortoiseBlame.exe

El Servicio VirusTotal, a la fecha, tiene un reporte donde solo 5 de 44 firmas de Antivirus detectan éste archivo ejecutable como malicioso. A continuación el reporte:

Se recomienda a los usuarios de Facebook tener precaución al revisar las notificaciones desde su correo electrónico, ya que pueden ser víctimas de Phishing y ser redirigidos a sitios que alojan malware creyendo que lo que descargan es un video de sus contactos.