Blue Coat logró identificar un malware que se esconde en mensajes titulados ‘Je suis Charlie’, aprovechando los recientes ataques terroristas al semanario francés Charlie Hebdo en Paris.
El malware DarkComet RAT (conocido como Fynlonski) es una herramienta gratuita de administración remota que también ha servido como puerta trasera para la entrada de un potente troyano.
DarkComet fue inicialmente creado por el hacker francés DarkCoderSc, que abandonó su desarrollo en 2012. Sin embargo, su facilidad de uso y la riqueza y variedad de sus características lo han mantenido a la cabeza en su utilización por todo tipo de atacantes, desde script kiddies y activistas hasta actores mucho más perversos.
Este malware descarga una copia de sí mismo con el nombre svchost.ext y lanza la imagen de un recién nacido, con una etiqueta que lleva el nombre ‘Je suis Charlie’. La imagen parece haber sido tomada de fuentes públicas.
La variante utilizada en el ataque actual está oculta para evitar ser detectadas por los programas antivirus. El código DarkComet Delphi está oculto dentro de un envoltorio .NET, haciendo que las señales de DarkComet sean difíciles de detectar.
El ejemplo también lanza un mensaje en francés para despistar al usuario y hacerle creer que el binario ha sido creado en una versión previa de MovieMaker.
Este link dirige a una dirección IP localizada en Orange en Francia. La dirección IP francesa y el mensaje de error en francés refuerzan la impresión de que el malware ha sido diseñado pensando en usuarios franceses.
