SpamLoco

Consejos Seguridad

Video: imagen falsa infectando Windows

Alejandro Eguía 21

Una técnica muy utilizada a la hora de infectar es la de enviar fotos falsas para que las víctimas las abran, resulta muy tentador para cualquier usuario abrir una imagen que le llega por correo, chat, mensaje privado o comentario en su perfil, sobre todo cuando les dicen cosas como “Ey mira la foto que te sacaron [link a la foto]”…

Algunas campañas de spam han logrado infectar miles de computadoras simulando ser imágenes, documentos, videos, mp3 y todo tipo de archivos. En el blog se han comentado varios casos como el de Muro de fotos .com, Te la dedico en el MSN o las fotos falsas en el chat de Facebook.

Para mostrar todo esto de forma más clara, grabé el siguiente video en el cual infecto una máquina por medio de una imagen que simula ser un fondo de pantalla navideño (para estar acorde a estas fechas):

A primera vista el fondo parece una imagen normal, pero en realidad se trata de un archivo ejecutable que muestra la imagen y en segundo plano carga Meterpreter iniciando una conexión reversa. El archivo se camufla con el icono de un JPG y el hecho de estar las extensiones de Windows deshabilitadas.

Este ataque se evitaría de forma sencilla con nuestro sentido común, cada vez que alguien nos envía un archivo no solicitado conviene desconfiar o al menos tener precaución antes de abrirlo, en este caso de la imagen la extensión .exe es determinante. Por supuesto un antivirus y un firewall pueden ayudarnos a detectar la amenaza, pero hay que tener en cuenta que se los puede eludir y tarde o temprano podemos encontrarnos con un malware indetectable.

Related Story
21 comentarios
Alejandro Eguía

Es VMware pero también se puede hacer con VirtualBox.

Responder
jero

una pregunta?
¿cual es la maquina virtual que usas para
que yo ver que archivos tienen virus y decidir si abrirlos?

Responder
Liz

Uff hoy me llegó ese mensaje :
Tienes un mensaje privado
Hola amor, te encontré gracias a facebook quizá te hayas olvidado de mí. Quiero que sepas que todo este tiempo he pensado mucho en ti, desde el fondo de mi ser extraño cada parte de tí, nose porque terminamos te agrege como amigo espero que me aceptes te deje un mensaje en tu facebook por favor leelo, quizá explique nuestra separación te amo.

pd: en el mensaje deje un video lo debes recordar. te quiero.

Pero en mi caso si fue recontra creible, pues justo habia termnado una relacion recientemente, menosmal que mi antivirus no permitió que se abriera el archivo(video) .Además si era batante sospechoso, a tener cuidado!

Responder
ethan

Si, yo tambien he recibido esto:

Hola amor, te encontré gracias a facebook quizá te hayas olvidado de mí. Quiero que sepas que todo este tiempo he pensado mucho en ti, desde el fondo de mi ser extraño cada parte de tí, nose porque terminamos te agrege como amigo espero que me aceptes te deje un mensaje en tu facebook por favor leelo, quizá explique nuestra separación te amo.

Mi pregunta es: ¿esto es enviado desde una central que spams? o ¿son exploits enviados por gente q nos conoce? pq como direccion me pone: Facebook (noreply@sonico.com).

Un saludo

Responder
    Alejandro Eguía

    Hola Ethan, son enviados de forma automática por spammers al azar o a listas de correos que ellos recopilan. Muchas veces llegan de nuestros amigos porque sus cuentas fueron comprometidas y las utilizan para propagar el spam entre todos los contactos.

    Responder
llaits

Para notificarles que ultimamente esta saliendo un mensaje asi al msn
Tienes un Mensaje Privado.
Hola amor, te encontré gracias a facebook quizá te hayas olvidado de mí. Quiero que sepas que todo este tiempo he pensado mucho en tí, desde el fondo de mi ser extraño cada parte de tí, nose por que terminamos, te agregue como amigo espero que me aceptes te deje un mensaje en tu facebook por favor leelo, quizá explique nuestra separacion te amo.

PD. en el mensaje te dejo un Mensaje de Voz y Unas fotos. Te quiero
te das cuenta que es extraño porque es la foto de una chica y yo soy una chica y al momento de dar click en ver mensaje sale . exe obvio que es un troyano asi que mucho cuidado. advertencia

Responder
SpamLoco

Si, es sólo un programa que une los dos archivos.

Al .exe creado con metasploit seguro lo detectan la mayoría de los antivirus, pero también viene con un programa para evitar eso: msfencode

Responder
    Fernando

    Bueno, muchas gracias, voy a mirar eso.

    De todas formas empiezo a pensar que para la intrusion en pcs remotas, seria mas efectivo conseguir un exploits que explote algun bug en algun servicio o puerto, ya que esta forma de mandar archivos tiene un enorme numero de trabas, antivirus, medio para mandar el archivo, que la victima no se de cuenta que la foto viene con extension.exe, etc..

    De todas formas, lo otro tambien tiene lo suyo, habria que escanear las pcs conseguir inforamcion acerca de servicios o sistema operativo, para ese bug localizar exploit, y luego explotarlo..

    En fin, es un mundo complicado este, pero fascinante, saludos y gracias por el tiempo!.

    Responder
Fernando

Una pregunta, el video esta bueno, pero la parte mas importante, como crear la foto troyanizada???
Lo haces mismo del metasploit? como se hace eso?

Gracias! saludos!

Responder
    SpamLoco

    Se puede crear con metasploit, en el post hay un enlace a un artículo que muestra cómo crear un payload ejecutable que sería lo mismo del video.

    Un saludo.

    Responder
      Fernando

      Muchas gracias por la pronta respuestas, revise el link y encontre como insertar el payload en un archivo ejecutable, me gustaria saber como hacerlo en una imagen, sin que quede inutilizable?
      Cual seria el comando en metasploit?

      Por cierto, disculpa las molestias estoy empezando con esto y me surgen multiples dudas.

      Por ejemplo es como buscar pcs vulnerables, y luego identificar que exploits hay que usar? se que esta pregunta debe ser muy abierta, pero por lo menos una idea!

      Muchas gracias, haces un gran trabajo con la web!

      Saludos.

      Responder
        SpamLoco

        Para unir la imagen con el .exe hay varias formas, es aparte de metasploit. No lo explico acá paso a paso porque lamentablemente mucha gente le da malos usos a esa información. Igualmente en Google o el mismo YouTube se encuentran muchos tutoriales.

        Para detectar vulnerabilidades puedes usar Nessus que es un programa que escanea la PC y lista todas las vulnerabilidades que encuentra. Te recomiendo también este artículo y blog donde puedes encontrar mucha más info Information Gathering – Guía de Pentesting.

        Responder
          Fernando

          Vos te referis a los programas que unen los archivos? pero siempre crei que se rompia el .exe al juntarlo con una imagen…

          Por cierto esto es detectado por antivirus?

          Desde ya muchas gracias por el tiempo!

          Saludos.

          Responder
Patrick

HOla, gracias por tu video. Estaria bueno como complemento que expliques como saber si uno ya esta infectado. con el administrador de tareas, o ejecutando netstat, o algo asi. Pero bueno, gracias por tu tiempo

Responder
Joni2Back

La imagen es un exe, al abrirse lanza una imagen que trae adjunta, no es un JPG Infectado.

Responder
jorge jacobo

» El archivo se camufla con el icono de un JPG y el hecho de estar las extensiones de Windows deshabilitadas». (muy importante).

Extensiones EXE , Windows corre con ejecutables pero NO queremos lo malos.

Gracias por la información.

Responder
Paula

Querido Spamloco

Muchas Gracias por siempre mantenernos al dia de las amenazas que hay en la red. un cariñoso saludo soy tu fiel admiradora.

Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *