2009 Press Releases

LA EMBAJADA DE LA INDIA EN ESPAÑA, VÍCTIMA DE UNA ATAQUE DE MALWARE

Madrid, 05 de febrero de 2009.-  El propósito de las embajadas como canal diplomático se está viendo continuamente afectado por los ciber-criminales. Así lo confirman los investigadores de Trend Micro, (TS4704), líder global en seguridad de contenidos en Internet, que en esta ocasión han descubierto que la embajada de la India en España estaba distribuyendo malware mediante la inyección de iFrame malicioso.

Dicho iFrame malicioso conduce a un archivo detectado por Trend Micro como BKDR_TDSS.CG, que está siendo analizado por el equipo de investigación de la compañía con el objetivo de identificar sus rutinas.

Las investigaciones también ponen de manifiesto que, aparte del iFrame malicioso, una gran cantidad de código diferente también ha sido insertado en la página web de dicha embajada, pues se han encontrado numerosas etiquetas <div> en el site, con cabeceras que contienen enlaces a otros websites. Dichos encabezados están escondidos y el código es demasiado pequeño como para ser visto por los incautos visitantes.

Según el Analista de Amenazas Avanzadas de Trend Micro, Ryan Flores, “se ha descubierto que existe código insertado en las webs comprometidas que incorpora páginas que parecen ser entradas de blog a dominios de sites amenazados.  Las páginas insertadas contienen diversa información relacionada con productos farmacéuticos”. Flores indica que “esto es posiblemente un esquema de SEO infectado, o una trama para utilizar dominios legítimos de las páginas comprometidas para evitar los filtros de spam”.

Aunque no existen indicios de malware en los otros enlaces, Edgardo Díaz, Jr., Ingeniero Antivirus de Trend Micro, opina que “es posible que esto se trate de una estafa, también conocido como scam, o de un ataque de malware masivo en su etapa inicial. Esto también podría explicar por qué algunas partes de esta amenaza no parecen estar completamente operativas”. Sin embargo, advierte que “desde que la web está comprometida, es sólo una cuestión de modificar las etiquetas para activar la aparente inserción de código “no malicioso” y convertirlo en un ataque de malware en toda regla”.

Rutinas de BKDR_TDSS.CG

Un análisis en profundidad del archivo BKDR_TDSS.CG ha llevado a descubrir que éste descarga un rootkit que posteriormente es inyectado en SVCHOST.EXE. Mientras se produce este proceso, el rootkit intenta conectarse a varios websites y enviar la información recibida.

Del mismo modo, BKDR_TDSS.CG también descarga un archivo encriptado. Una vez que es descodificado, este fichero parece contener comandos para descargar otros archivos dll y una copia actualizada de TDSSserv.sys, puede cargar determinados módulos del archivo dll y subir archivos de registro (que contienen registros erróneos, listas de procesos y detalles del sistema operativo). Además, despliega anuncios popup, evita que el software de seguridad entre en funcionamiento y despliega una serie de comandos. Mientras el contenido de los archivos de las URLs descargadas varían cada cierto tiempo, esta puerta trasera mantiene el acceso de la lista de URLs incluso después de completar su rutina, lo que eventualmente puede permitir el acceso a todas las URLs (excepto a aquellas que ya se encuentran inaccesibles) necesarias para lograr todas las funcionalidades mencionadas.

Acerca de Trend Micro:

Trend Micro Incorporated, líder mundial en la seguridad de contenidos en Internet, centra su actividad en el intercambio de información digital para empresas y consumidores. Como empresa pionera y líder en el sector, Trend Micro adelanta una tecnología integrada para la gestión de amenazas a fin de proteger la continuidad de trabajo y la propiedad frente al malware, spam, filtraciones de datos y amenazas Web más recientes. Visite TrendWatch en www.trendmicro.com/go/trendwatch para conocer más sobre las amenazas. Sus flexibles soluciones, disponibles en diversas configuraciones, cuentan las 24 horas día con el respaldo de un equipo internacional de expertos en amenazas. Trend Micro es una empresa transnacional con sede en Tokio y sus fiables soluciones de seguridad se venden a través de sus socios empresariales en todo el mundo. Más información en http://es.trendmicro.com.

Copyright© 2008 Trend Micro Incorporated.  All rights reserved. Trend Micro, the Trend Micro t-ball logo are trademarks or registered trademarks of Trend Micro, Incorporated. All other product or company names may be trademarks or registered trademarks of their owners.