Recientemente se ha detectado un correo que se está propagando entre usuarios de Argentina en dónde se reciben supuestas facturas que en realidad son un archivo malicioso. Este adjunto que tiene el nombre de Document-PDF.exe. Se trata de una variante de Win32/TrojanDownloader.Banload y una vez que sea descargado en el sistema del usuario intenta descargar otro código malicioso una dirección URL.

El cuerpo del correo alerta al usuario acerca de que debe una determinada cantidad de dinero y que debe saldar su deuda lo más pronto posible. Para conocer cuál es el monto de la deuda debe descargar el archivo adjunto y abrirlo.  Esto no se trata de una deuda real, sino de un engaño diseñado para persuadir a los usuarios desprevenidos y lograr así infectar sus sistemas.

Ante este tipo de situaciones recuerden que siempre es necesario analizar los archivos adjuntos a los correos electrónicos  con una solución antivirus con capacidad de detección proactiva. De esta manera se logra envitar el robo de información del usuario como la que sustraen los troyanos bancarios. Cuando la amenza se ejecuta por primera vez en un sistema desprotegido, se conecta a una dirección URL desde dónde descarga el archivo Bado.exe (detectado por ESET NOD 32 Antivirus como una variante de Win32/Spy.Banker), este nuevo archivo malicioso está comprimido con una variante de UPX.

Al descargar esta amenaza, se crea una nueva llave en el registro que ejecuta el archivo oculto en "C:Documents and SettingsAdministradorConfiguración localDatos de programaMontagem" en el caso de los sistemas con Windows XP. Esto quiere decir que cada vez que se inicie el sistema se va a ejecutar el código malicioso descargado dejando abierta la entrada del atacante al sistema. Además intenta conectarse a dos sitio webs alojados en los Estados Unidos pero con dominio con extensión .dk.

Desde el Laboratorio de análisis e investigación de ESET Latinoamérica continuamos analizando este segundo archivo ejecutable para conocer en detalle cuáles son sus actividades. Pero recuerden, nunca descargar un archivo adjunto de un correo en el cuál no conocen el remitente. En este caso se utilizaron cuentas falsas asociadas al gobierno argentino pero en otras oportunidades hemos visto que los cibercriminales también se hacen pasar por entidades bancarias para engañar a los usuarios.

Pablo Ramos
Security Researcher