El Laboratorio de Investigación de ESET
Latinoamérica ha detectado una muestra de una campaña que relaciona a
WhatsApp y Zeus, una de las amenazas más populares, especializada en el
robo de información y credenciales bancarias.
La infección se realiza a través de la recepción de un correo que
simula contener un mensaje de voz de WhatsApp y posee adjunto un
comprimido llamado
Missed-message.zip. Al descomprimirlo, se obtiene un
ejecutable con el mismo nombre, que funciona como dropper, una
común usada por los atacantes para hacer que un archivo que parece
inofensivo descargue otra amenaza. Así, el archivo ejecuta otro código
malicioso, llamado budha.exe, que también tiene la misma funcionalidad.
De este modo, el segundo dropper inicia un proceso llamado kilf.exe
que tiene la función de “limpiar” la escena, borrando los archivos
mencionados anteriormente gracias a un archivo de extensión BAT que
también se elimina a sí mismo. Luego aparece un segundo ejecutable, el
malware detrás de la botnet Zeus (ZBot) que es detectado por las
soluciones de ESET como Win32/Spy.Zbot.
A lo largo de todo el ciclo, el malware manipula los controladores de
sonido del sistema operativo infectado, simulando ser un verdadero
archivo de audio.
“Estos cibercriminales se valen de la popularidad de WhatsApp para su
campaña. Para no ser víctima de casos como este, es importante contar
con una solución de seguridad que detecte la amenaza. Además,
recomendamos verificar si la información en cuestión, en este caso el
mensaje de voz, es verídica”, comentó Raphael Labaca Castro, Coordinador
de Awareness & Research de ESET Latinoamérica.
No hay comentarios:
Publicar un comentario