Menú principal

lunes, 17 de septiembre de 2012

Copias de NCFTA_iOS_devices_intel.csv llevan a malware

Nada más salir la noticia de que Anonymous había publicado un fichero con 1.000.001 registros de dispositivos Apple robados al FBI - que luego una empresa diría que se los robaron a ellos -, nosotros fuimos rápidamente a buscar el fichero. Como en todas las crónicas del suceso se hablaba del nombre de un fichero que llevaba por nombre NCFTA_iOS_devices_intel.csv, decidimos ir a buscar ese fichero por Internet, y aparecían ya muchas referencias, incluidas muchas descargas de los mismos desde Torrent, así que intentamos descargarlo por ahí.

Figura 1: Links en Torrent llevando al supuesto fichero

Tras revisar todos los enlaces que se ofrecían de los Torrent en más detalle, pudimos comprobar que eran ficheros ejecutables, .exe, así que no los descargamos porque supusimos que eran crapware, algo que ha confirmado McAfee tras investigar dichos ficheros que se están distribuyendo.

Figura 2: Descarga un fichero .exe, que por supuesto es malware

Si quieres conseguir el fichero original publicado por Anonymous, no hay más que seguir las instrucciones que se dejaban en la nota que publicaron en Pastebin. Ahí no solo se dan los links de descarga sino que también es posible acceder a los hashes de verificación y las contraseñas de descifrado, que es la forma segura de hacerse con el fichero.

Figura 3: Links e instrucciones para descargar el fichero auténtico

Siguiendo los pasos que daban en la nota es fácil obtener el fichero, para aquellos que quieran analizarlo en más detalle. Hay que tener cuidado con los ficheros que se descargan con búsquedas populares de la actualidad, pues muchos sistemas están automatizados para generar resultados ante cualquier tipo de búsqueda que se realice.

2 comentarios:

  1. En realidad, en ese sitio de torrents (torrentz), cualquier cosa que busques, los 3 primeros resultados (los .exe) son "sponsored links". Haced la prueba y buscad "pepito" o cualquier otra cadena, saldrán los mismos resultados asociados con esa cadena de texto, el primero terminado en "Full Download", el otro empieza por [verified] y el último acabando por "Free Download". Es un tema SEO de este agregador de torrents.

    Esta claro que McAfee no descarga torrents de manera habitual, porque esta práctica se ve en varios buscadores masivos de torrents :)

    ResponderEliminar
  2. los primeros enlaces de torrentz.us siempre llevan a malware, son links sponsoreados. No es una curiosidad solo del archivo de UIDs

    saludos!

    ResponderEliminar

Artículos relacionados

Otras historias relacionadas

Entradas populares