• Tweet

“Su pago de impuestos federales fue rechazado”. Es posible imaginarse que con sólo ver estas letras, incluso el individuo más consciente en aspectos de seguridad podría hacer clic en cualquier cosa que diga cómo resolver esta noticia tan preocupante.

En las últimas 24 horas Commtouch Labs ha detectado una vasta cantidad de correos electrónicos que informan al destinatario que su pago de impuestos ha sido rechazado por el Sistema de Pagos Electrónicos Federal (EFTPS por sus siglas en inglés).

Todos los correos electrónicos usan la dirección “irs.gov” con nombres de empleados falsos en el campo “De:”. La imagen es descargada directamente del sitio IRS. Se notó además un “archivo auto-extraíble” después del nombre del mismo, aparentemente para aplacar los temores de los usuarios precavidos de abrir archivos ejecutables.

La liga lleva a cerca de 2,500 dominios que se han seguido en relación con este correo electrónico. Todos los dominios fueron registrados en las últimas 48 horas. Las páginas de destino (confusamente) muestran el error “404 not found”, mensaje tras el cual se esconde un script que inician la descarga del archivo “PDF”. El nombre del archivo descargado para este sitio fue: TAX45368001.pdf.exe.

Cuando el usuario abre el archivo, el código malicioso realiza las siguientes acciones, las cuales tienen características de ser una botnet que roba contraseñas.

1. Se configura ella misma para ejecutarse en cada inicio de Windows.

2. Crea 3 archivos:

• C:\Documents and Settings\user\Application Data\Iwab\boji.ybe
• C:\Documents and Settings\user\Application Data\Qyfe\woobx.exe
• C:\DOCUME~1\user\LOCALS~1\Temp\tmp97e95e58.bat.  – este archivo de lotes solamente borra el ejecutable original.

3. Inyecta hilos en el proceso explorer.exe, el cual descarga datos cifrados del sitio vesv.wtytz.biz.

4. Escucha en el puerto 27032 para realizar conexiones.

5. Inyecta hilos dentro de la mayoría de los procesos que están ejectuándose.