El Laboratorio de Investigación de ESET
Latino américa ha detectado una muestra de una campaña que relaciona a WhatsApp
y Zeus, una de las amenazas más populares, especializada en el robo de
información personal y credenciales bancarias.
La infección se realiza a través de la
recepción de un correo que simula contener un mensaje de voz de WhatsApp y
posee adjunto un archivo comprimido llamado Missed-message.zip. Al
descomprimirlo, se obtiene un ejecutable con el mismo nombre, que funciona como
dropper, una técnica común usada por los atacantes para hacer que un archivo
que parece inofensivo descargue otra amenaza. Así, el archivo ejecuta otro
código malicioso, llamado budha.exe, que también tiene la misma funcionalidad.
De este modo, el segundo dropper inicia un
proceso llamado kilf.exe que tiene la función de "limpiar" la escena,
borrando los archivos mencionados anteriormente gracias a un archivo de
extensión BAT que también se elimina a sí mismo. Luego aparece un segundo ejecutable,
el malware detrás de la botnet Zeus (ZBot) que es detectado por las soluciones
de ESET como Win32/Spy.Zbot.
A lo largo de todo el ciclo, el malware
manipula los controladores de sonido del sistema operativo infectado, simulando
ser un verdadero archivo de audio.
"Estos cibercriminales se valen de la
popularidad de WhatsApp para su campaña. Para no ser víctima de casos como
este, es importante contar con una solución de seguridad que detecte la
amenaza. Además, recomendamos verificar si la información en cuestión, en este
caso el mensaje de voz, es verídica," comentó Raphael Labaca Castro,
Coordinador de Awareness & Research de ESET Latino américa.
"Atencion" Un Falso Mensaje de WhatsApp para descarga Virus Zeus