Video: imagen falsa infectando Windows

Una técnica muy utilizada a la hora de infectar es la de enviar fotos falsas para que las víctimas las abran, resulta muy tentador para cualquier usuario abrir una imagen que le llega por correo, chat, mensaje privado o comentario en su perfil, sobre todo cuando les dicen cosas como “Ey mira la foto que te sacaron [link a la foto]”…

Algunas campañas de spam han logrado infectar miles de computadoras simulando ser imágenes, documentos, videos, mp3 y todo tipo de archivos. En el blog se han comentado varios casos como el de Muro de fotos .com, Te la dedico en el MSN o las fotos falsas en el chat de Facebook.

Para mostrar todo esto de forma más clara, grabé el siguiente video en el cual infecto una máquina por medio de una imagen que simula ser un fondo de pantalla navideño (para estar acorde a estas fechas):

A primera vista el fondo parece una imagen normal, pero en realidad se trata de un archivo ejecutable que muestra la imagen y en segundo plano carga Meterpreter iniciando una conexión reversa. El archivo se camufla con el icono de un JPG y el hecho de estar las extensiones de Windows deshabilitadas.

Este ataque se evitaría de forma sencilla con nuestro sentido común, cada vez que alguien nos envía un archivo no solicitado conviene desconfiar o al menos tener precaución antes de abrirlo, en este caso de la imagen la extensión .exe es determinante. Por supuesto un antivirus y un firewall pueden ayudarnos a detectar la amenaza, pero hay que tener en cuenta que se los puede eludir y tarde o temprano podemos encontrarnos con un malware indetectable.

21 comentarios en «Video: imagen falsa infectando Windows»

  1. Uff hoy me llegó ese mensaje :
    Tienes un mensaje privado
    Hola amor, te encontré gracias a facebook quizá te hayas olvidado de mí. Quiero que sepas que todo este tiempo he pensado mucho en ti, desde el fondo de mi ser extraño cada parte de tí, nose porque terminamos te agrege como amigo espero que me aceptes te deje un mensaje en tu facebook por favor leelo, quizá explique nuestra separación te amo.

    pd: en el mensaje deje un video lo debes recordar. te quiero.

    Pero en mi caso si fue recontra creible, pues justo habia termnado una relacion recientemente, menosmal que mi antivirus no permitió que se abriera el archivo(video) .Además si era batante sospechoso, a tener cuidado!

    Responder
  2. Si, yo tambien he recibido esto:

    Hola amor, te encontré gracias a facebook quizá te hayas olvidado de mí. Quiero que sepas que todo este tiempo he pensado mucho en ti, desde el fondo de mi ser extraño cada parte de tí, nose porque terminamos te agrege como amigo espero que me aceptes te deje un mensaje en tu facebook por favor leelo, quizá explique nuestra separación te amo.

    Mi pregunta es: ¿esto es enviado desde una central que spams? o ¿son exploits enviados por gente q nos conoce? pq como direccion me pone: Facebook (noreply@sonico.com).

    Un saludo

    Responder
    • Hola Ethan, son enviados de forma automática por spammers al azar o a listas de correos que ellos recopilan. Muchas veces llegan de nuestros amigos porque sus cuentas fueron comprometidas y las utilizan para propagar el spam entre todos los contactos.

      Responder
  3. Para notificarles que ultimamente esta saliendo un mensaje asi al msn
    Tienes un Mensaje Privado.
    Hola amor, te encontré gracias a facebook quizá te hayas olvidado de mí. Quiero que sepas que todo este tiempo he pensado mucho en tí, desde el fondo de mi ser extraño cada parte de tí, nose por que terminamos, te agregue como amigo espero que me aceptes te deje un mensaje en tu facebook por favor leelo, quizá explique nuestra separacion te amo.

    PD. en el mensaje te dejo un Mensaje de Voz y Unas fotos. Te quiero
    te das cuenta que es extraño porque es la foto de una chica y yo soy una chica y al momento de dar click en ver mensaje sale . exe obvio que es un troyano asi que mucho cuidado. advertencia

    Responder
    • Bueno, muchas gracias, voy a mirar eso.

      De todas formas empiezo a pensar que para la intrusion en pcs remotas, seria mas efectivo conseguir un exploits que explote algun bug en algun servicio o puerto, ya que esta forma de mandar archivos tiene un enorme numero de trabas, antivirus, medio para mandar el archivo, que la victima no se de cuenta que la foto viene con extension.exe, etc..

      De todas formas, lo otro tambien tiene lo suyo, habria que escanear las pcs conseguir inforamcion acerca de servicios o sistema operativo, para ese bug localizar exploit, y luego explotarlo..

      En fin, es un mundo complicado este, pero fascinante, saludos y gracias por el tiempo!.

      Responder
  4. Una pregunta, el video esta bueno, pero la parte mas importante, como crear la foto troyanizada???
    Lo haces mismo del metasploit? como se hace eso?

    Gracias! saludos!

    Responder
      • Muchas gracias por la pronta respuestas, revise el link y encontre como insertar el payload en un archivo ejecutable, me gustaria saber como hacerlo en una imagen, sin que quede inutilizable?
        Cual seria el comando en metasploit?

        Por cierto, disculpa las molestias estoy empezando con esto y me surgen multiples dudas.

        Por ejemplo es como buscar pcs vulnerables, y luego identificar que exploits hay que usar? se que esta pregunta debe ser muy abierta, pero por lo menos una idea!

        Muchas gracias, haces un gran trabajo con la web!

        Saludos.

        Responder
        • Para unir la imagen con el .exe hay varias formas, es aparte de metasploit. No lo explico acá paso a paso porque lamentablemente mucha gente le da malos usos a esa información. Igualmente en Google o el mismo YouTube se encuentran muchos tutoriales.

          Para detectar vulnerabilidades puedes usar Nessus que es un programa que escanea la PC y lista todas las vulnerabilidades que encuentra. Te recomiendo también este artículo y blog donde puedes encontrar mucha más info Information Gathering – Guía de Pentesting.

          Responder
          • Vos te referis a los programas que unen los archivos? pero siempre crei que se rompia el .exe al juntarlo con una imagen…

            Por cierto esto es detectado por antivirus?

            Desde ya muchas gracias por el tiempo!

            Saludos.

            Responder
  5. HOla, gracias por tu video. Estaria bueno como complemento que expliques como saber si uno ya esta infectado. con el administrador de tareas, o ejecutando netstat, o algo asi. Pero bueno, gracias por tu tiempo

    Responder
  6. » El archivo se camufla con el icono de un JPG y el hecho de estar las extensiones de Windows deshabilitadas». (muy importante).

    Extensiones EXE , Windows corre con ejecutables pero NO queremos lo malos.

    Gracias por la información.

    Responder

Deja un comentario