Eset informó de una campaña de propagación de malware mediante mensajes de Facebook y Windows Live Messenger que convierte a los equipos infectados en parte de una red botnet y roba a los usuarios los datos de acceso de las redes sociales. Se trata de Win32/Dorkbot, el cual se ha propagado durante los últimos 6 meses en Latinoamérica, y que también realiza ataques de phishing contra bancos de la región.
De acuerdo a los reportes del laboratorio de la firma, la distribución del malware se inicia con un mensaje de ingeniería social que despierta la curiosidad de los usuarios, dando paso a la descarga de un archivo ejecutable malicioso. En este caso, los cibercriminales utilizan como cepo supuestas fotos de Hugo Chávez, el presidente de Venezuela, en estado agónico.
A partir del momento en que el sistema es infectado, el equipo pasa a formar parte de una red botnet y queda a la espera de recibir órdenes. Entre las capacidades de este código se encuentra también el robo de credenciales de Facebook, Gmail, Hotmail, Twitter y PayPal, entre otros servicios en línea.
Los comandos enviados de manera remota a cada equipo zombie integrante de la red le permiten al atacante definir mensajes para propagar la amenaza a través de estos servicios. De este modo, cuando el sistema infectado se conecte a sitios como Facebook o Windows Live Messenger, se enviarán mensajes a todos los contactos del usuario con un enlace al código malicioso, continuando de este modo el ciclo de propagación.
Por otro lado, al producirse la infección, el malware descarga también un listado de direcciones URL con cinco bancos de Chile y seis bancos de Perú, de modo que cada vez que el usuario se conecte a estos dominios estará remitiendo las claves de acceso de su home banking al cibercriminal.
