Ataque spam "here you have"

Publicado el 17 septiembre 2010 por Barracuda Comespam @comespam

Seguro que habéis oído hablar del último Troyano que ha afectado masivamente a empresas de todo el mundo, el “Here you have” (Aquí lo tienes)

El spam apareció por primera vez a primera hora de la mañana en Estados Unidos (a media tarde en horario CET) el Jueves 9 de septiembre y el virus se propagó muy rapidamente y afectó a organizaciones como la NASA, Comcast, AIG, Procter&Gamble, Disney y muchos más. Durante un breve período de tiempo llegó a representar alrededor del 10% de todo el spam que circulaba por Internet.

El equipo de análisis de seguridad de Barracuda Networks trabajó rápidamente con la ingeniería para asegurar que la protección inmediata se había establecido para proteger a la base de clientes. De hecho, inmediatamente se bloquearon más de 200.000 de estos mensajes (en este número no se incluyen correos internos) Este ha sido uno de los tiempos de respuesta más rápidos en el mercado y es un ejemplo de la capacidad de Barracuda Networks para responder a las nuevas amenazas con rapidez.

Paso a explicaros el funcionamiento de “Here you have”: Existen diferentes tipos de mensaje y algunos incluyen la frase “This is the document I told you about” (éste es el mensaje del que te hablé) invitando al usuario a descargarse un archivo PDF de un link falso. Una vez se descarga el presunto PDF, que realmente se trata de un archivo .scr o Screensaver (protector de pantalla) el archivo no se abre sino que se ejecuta. Cuando hemos sido infectados por el -ya conocido- malware VBMania éste se reenvia a todos los contactos de nuestra libreta de direcciones. Uno de los mayores problemas es que en muchas empresas los correos internos acostumbran a pasar como válidos sin apenas filtro, y eso sumado a que los usuarios reciben correos de fuentes de confianza, hace crecer el spam de forma exponencial. Una vez que la cuenta de alojamiento del malware se cerró la actividad del spam cayó en picado.

En resumen, se ha tratado de un ataque simple, con un gusano ya conocido pero con un truco nuevo que podría haber sido mucho peor si hubiese incluído, por ejemplo, un programa para robar contraseñas.