CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/01/2014

Fals missatge de WhatsApp descarrega el troià Zeus

Imagen de la noticia Els cibercriminals aprofiten la popularitat de l’aplicació per a propagar esta amenaça, especialitzada en el robatori d’informació personal i credencials bancàries.

El Laboratori d’Investigació d’ESET Llatinoamèrica ha detectat una mostra d’una campanya que relaciona WhatsApp i Zeus, una de les amenaces més populars, especialitzada en el robatori d’informació personal i credencials bancàries.

La infecció es realitza a través de la recepció d’un correu que simula contindre un missatge de veu de WhatsApp i posseïx adjunt un arxiu comprimit anomenat Missed-message.zip. Al descomprimir-lo, s’obté un executable amb el mateix nom, que funciona com dropper, una tècnica comuna usada pels atacants per a fer que un arxiu que pareix inofensiva descarregue una altra amenaça. Així, l’arxiu executa un altre codi maliciós, anomenat budha.exe, que també té la mateixa funcionalitat.

D’esta manera, el segon dropper inicia un procés anomenat kilf.exe que té la funció de “netejar” l’escena, esborrant els arxius mencionats anteriorment gràcies a un arxiu d’extensió BAT que també s’elimina a si mateix. Després apareix un segon executable, el programari maliciós darrere de la xarxa de zombis Zeus (ZBot) que és detectat per les solucions d’ESET com Win32/Spy.Zbot.

Al llarg de tot el cicle, el programari maliciós manipula els controladors de so del sistema operatiu infectat, simulant ser un verdader arxiu d’àudio.

“Estos cibercriminals es valen de la popularitat de WhatsApp per a la seua campanya. Per a no ser víctima de casos com este, és important comptar amb una solució de seguretat que detecte l’amenaça. A més, recomanem verificar si la informació en qüestió, en este cas el missatge de veu, és verídica,” va comentar Raphael Labaca Castro, Coordinador d’Awareness & Research d’ESET Llatinoamèrica.

Font: Diario Ti

CSIRT-CV