MyDoom: El malware de 15 años que aún se usa para ataques de phishing

Una década y media después de que surgió y que se ganó el título del virus informático más destructivo de todos los tiempos, MyDoom aún persiste.


Todavía se está distribuyendo activamente una forma destructiva de malware, 15 años después de que se desatara, causando daños por más de $38 mil millones.


MyDoom surgió por primera vez en 2004 y todavía se lo considera uno de los virus informáticos más destructivos y de mayor difusión de todos los tiempos: en un momento, este gusano generó hasta una cuarta parte de todos los correos electrónicos que se enviaron en todo el mundo.


Se propagó al eliminar las direcciones de correo electrónico de las computadoras Windows infectadas y se extendió a los contactos de la víctima enviando una nueva versión de sí mismo como un archivo adjunto malicioso. Si se abría el archivo adjunto, el proceso se repetiría y MyDoom se extendería a más víctimas, encerrándolas en una botnet que podría realizar ataques de denegación de servicio distribuida (DDoS).


Google sufrió sus embates


Tal fue el impacto de MyDoom, que el 26 de julio de 2004 derribó a Google, evitando que los usuarios realizaran búsquedas en la web durante la mayor parte del día. Otros motores de búsqueda populares de la época, como Yahoo, Lycos y Alta Vista, también experimentaron un rendimiento lento como resultado del ataque.


Exactamente una década y media después de ese día, MyDoom todavía está activo en la naturaleza y, según el análisis de la Unidad 42, la división de investigación de la compañía de ciberseguridad Palo Alto Networks, el uno por ciento de todos los correos electrónicos que contienen malware enviados durante 2019 han sido correos electrónicos de MyDoom.


Puede que no parezca mucho, pero es una gran cifra teniendo en cuenta la gran cantidad de correos electrónicos de phishing maliciosos distribuidos en todo el mundo, y es un testimonio del poder de permanencia y la autosuficiencia de MyDoom que sigue activo hasta el día de hoy.

“La razón principal del alto y constante volumen del malware MyDoom es que una vez infectado, MyDoom trabaja agresivamente para encontrar otras direcciones de correo electrónico en el sistema de la víctima para enviarse”, dijo Alex Hinchliffe, analista de inteligencia de amenazas de la Unidad 42.

“MyDoom trabaja agresivamente para encontrar otras direcciones de correo electrónico en el sistema de la víctima para enviarse. Este comportamiento de gusano significa, en su mayor parte, que el malware es autosuficiente y podría continuar haciéndolo para siempre, siempre y cuando la gente abra los archivos adjuntos de correo electrónico”.


Uso de MyDoom en la actualidad


La gran mayoría de las direcciones IP que distribuyen MyDoom en 2019 se encuentran en China, con Estados Unidos y Gran Bretaña en segundo y tercer lugar, pero en conjunto solo representan menos del 10% de los correos electrónicos no deseados enviados por sistemas chinos infectados.


La distribución de MyDoom sigue siendo similar a la forma en que siempre ha funcionado, con líneas de asunto de correo electrónico diseñadas para engañar al usuario para que abra un archivo adjunto enviado desde una dirección de correo electrónico falsificada. En muchos casos, estos se basan en notificaciones de entrega fallidas que sugieren que el usuario necesita abrir el documento malicioso para averiguar por qué.


Otras líneas de asunto incluyen cadenas de caracteres al azar, ‘Hi’, ‘Hello’, etc. Los señuelos suenan básicos, pero aun así son suficientes para seguir siendo efectivos. Sin embargo, con la educación, esto podría ser contrarrestado.

“Deberíamos estar aprendiendo sobre los niveles básicos de higiene cibernética que pueden evitar que dichos correos electrónicos tengan éxito. Cosas como detectar tipos de archivos sospechosos y estar atentos a direcciones de remitentes de correo electrónico de aspecto extraño”, dijo Hinchliffe.

Si bien los ataques son relativamente simples, los gusanos siguen siendo un peligro para los usuarios de Internet. Tanto WannaCry como NotPetya, dos de los ciberataques más destructivos de los últimos años, fueron impulsados ​​por capacidades similares a las de los gusanos. NotPetya en particular causó grandes cantidades de daños financieros, costando a algunas de sus víctimas cientos de millones de dólares.



Fuente: 100 Tips Informáticos


¿Quieres desarrollarte como un analista en seguridad de redes informáticas? En EducaciónIT tenemos un curso de Ethical Hacking – Penetration Testing, en donde conocerás las técnicas más utilizadas por los hackers, cómo usarlas para defender las redes empresariales, comprender los conceptos de Buffer Overflow, Exploit, Shellcode, y mucho más.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.