El nuevo malware comenzó a afectar a los sistemas el pasado domingo, según Roei Lichtman, director de gestión de producto de Aladdin. “Todavía no sabemos cuál es el objetivo final de este ataque, pero por el momento está creando una armada de bots maliciosos. Finalmente, por supuesto, el autor enviará comandos para conseguir algo”.

El malware se extiende enviando a los usuarios del programa Windows Live Messenger un mensaje que incluye archivos Zip manipulados, en realidad ejecutables de doble extensión en el formato “nombredeficherojpg.exe”, o un fichero con la etiqueta “images” que esconde un ejecutable .pif. “Este troyano se está extendiendo de manera especialmente rápida”, asegura Lichtman.

De manera similar a lo ocurrido con otros ataques difundidos a través de software de mensajería instantánea, los mensajes que contienen el código malicioso aparentan provenir de la lista de contactos IM de la víctima.

Propagación vía VPN

Además de su rápida propagación, Lichtman destaca otra peculiaridad de este malware: puede también difundirse vía clientes de red privada virtual (VPN), utilizados generalmente por los usuarios empresariales para conectarse a las redes corporativas cuando se encuentran fuera del área protegida por los cortafuegos.

Esto aumenta considerablemente la eficiencia de su propagación, como subraya Lichtman, dado que una vez se ha instalado en un archivo interno del PC –a menudo un laptop- a través del sistema IM, es capaz de penetrar en el perímetro corporativo vía VPN para infectar al resto de plataformas empresariales, incluso a aquellas que no utilicen Windows Live Messenger.