Zeus entra con máscara WhatsApp

Soy Digital

A través de un correo de notificación de un mensaje de voz pendiente en WhatsApp se descarga el Zbot, eliminando sus propios rastros.

Ana Padilla

 

Los 400 millones de usuarios de WhatsApp son ahora vulnerables al ataque de Zeus, especializada en robo de informació;n personal. ESET Latinoamérica detectó; que la infecció;n se realiza a través de un correo electró;nico donde notifica un mensaje de voz pendiente y se adjunta para descarga el archivo Missed-message.zip, conteniendo los agentes de ejecució;n.

 

Al descomprimirlo se obtiene el primer ejecutable con el mismo nombre, que funcionará como dropper, técnica que disfraza de inofensivo el archivo para descargar otra amenaza.

 

Este archivo ejecuta el có;digo budha.exe con la misma funcionalidad. El siguiente agente es otro dropper que da paso al proceso klif.exe, encargado de borrar los anteriores archivos y a sí; mismo.

 

Posteriormente se instala el segundo ejecutable, Zbot, el malware detrás de la botnet Zeus. Las soluciones de ESET lo detecta como Win32/Spy.Zbot. De esta forma, unos pocos segundos luego de la ejecució;n del falso mensaje de voz, el ú;nico proceso presente será este malware.

 

A lo largo de todo el ciclo, el malware manipula los controladores de sonido, simulando ser un verdadero archivo de audio. Además, analizando las strings de algunos de ellos, presenta informació;n relativa a archivos reales de Windows, con el fin probable de disfrazarse ante los procesos de detecció;n.

 

Para evitar ser ví;ctima, ESET recomienda contar con una solució;n de seguridad capaz de detectar la amenaza. Además, hace hincapié en la verificació;n de la informació;n que se recibe, en este caso, la veracidad del mensaje de voz segú;n su estructura y los procesos normales de notificaciones WhatsApp.

Este artículo está clasificado como: , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR