Novas Versões do Waledac Botnet/Storm Worm são Descobertas em Campanha Maciça de Spam
Há uma nova campanha de spam que os pesquisadores de segurança acreditam ser o resultado de uma nova versão do Waledac Botnet ou do worm Storm e foi descoberta pelo Shadowserver, um grupo voluntário de profissionais de segurança.
O grupo Shadowserver e seus especialistas em segurança acompanharam um influxo maciço de mensagens de spam durante o feriado, semelhante a uma campanha iniciada pela infame botnet Waledac ou worm Storm. Após um exame mais aprofundado dessa campanha de spam, composta principalmente por e-mails fraudulentos de cartões eletrônicos, os especialistas da Shadowserver acreditam que poderia ser o trabalho de uma variação mais recente do worm Waledac ou Storm.
Lançamos um relatório de remoção do Waledac em 2009 e essa ameaça de botnet era comumente usada para anexar cartões virtuais falsos de feriados com o objetivo de espalhar links de malware. Esses links de malware, semelhantes aos da recente descoberta feita pelo Shadowserver, levam os usuários de computadores a sites que oferecem vídeos. Para que os usuários visualizem esses vídeos, o site solicita a atualização do Adobe Flash, que solicita que eles baixem um arquivo executável malicioso. O que se acredita ser uma versão mais recente do Waledac ou Storm, ligou os usuários de computador a vários sites invadidos que hospedam páginas HTML que são atualizadas para diferentes domínios maliciosos. No ano passado, o worm Storm (ou Botnet) retornou com funcionalidades diferentes e bastante complexas. Este é um jogo totalmente novo que poderíamos estar assistindo, onde os domínios maliciosos podem atualizar IPs (endereços de protocolo da Internet).
Até agora, vários dos e-mails de spam da campanha de spam descoberto se assemelhavam aos da Figura 1 e Figura 2 abaixo, com apenas mudanças sutis nas linhas de assunto: "Você tem um cartão de felicitações de feliz ano novo!" ou "Tenha um feliz e colorido ano novo!"
Figura 1. - Captura de tela do e-mail de spam do endereço falso de Honda Puerto Rico com um link malicioso.
Figura 2. - Captura de tela do e-mail de spam 'Feliz Ano Novo' com um link malicioso.
Se um dos sites incorporados no link da mensagem de spam for visitado, ele redirecionará um usuário para hxxp://leolati.com. Este site usa o que é chamado de domínio de 'fluxo rápido' (uma técnica usada pelas redes de bots para ocultar sites mal-intencionados atrás de uma rede em mudança de sites comprometidos), que escolhe com frequência um novo endereço IP sempre que for resolvido. Além disso, o site possui um TTL de 0 (tempo de vida = limite de tempo no número de solicitações antes de um site ser armazenado em cache novamente), o que instruirá o servidor de nomes a evitar o armazenamento em cache do resultado, alterando continuamente o endereço IP. Isso é algo comumente visto com outras variantes de Waledac e Storm.
Vimos como a natureza das redes bot pode ser complexa no passado. Se existe uma nova versão do worm Storm ou botnet Waledac, muitos usuários vulneráveis de computadores podem receber uma 'tempestade' de mensagens de spam. É promissor saber que as últimas mensagens de spam nesta campanha de spam não são novidade para nós, o que significa que os usuários de computador não devem ter dificuldade em identificá-las como spam.
Embora a temporada de férias tenha terminado, ainda podemos ver um retorno de golpes por e-mail de cartões eletrônicos durante o próximo feriado deste ano, pois uma nova versão do Waledac e Storm se mostra mais eficaz.