Estas últimas semanas hemos hablado acerca de la creciente popularidad de WhatsApp, el servicio de mensajería que ha superado los 400 millones de usuarios. Por otro lado se encuentra Zeus, una de las amenazas más populares, especializada en el robo de información personal y credenciales bancarias. ¿Podrían los cibercriminales aprovechar la popularidad de ambos para intentar beneficiarse? La respuesta es: Sí, y de hecho lo hacen.
Recientemente hemos analizado en nuestro Laboratorio de Investigación de ESET Latinoamérica una muestra de una campaña que relaciona a ambos. Todo empieza con la recepción de un correo como el siguiente:
El correo simula ser un mensaje de voz de WhatsApp, y posee adjunto un archivo comprimido llamado Missed-message.zip. Al descomprimirlo obtendremos un ejecutable con el mismo nombre, que funcionará como dropper. Un dropper es una técnica común usada por los atacantes para hacer que un archivo que parece inofensivo descargue otra amenaza. Dicho archivo ejecuta otro código malicioso, llamado budha.exe, que también tiene la misma funcionalidad.
El segundo dropper iniciará un proceso llamado kilf.exe y otro ejecutable de nombre aleatorio. El primero tendrá la función de “limpiar” la escena, borrando los archivos mencionados anteriormente gracias a un archivo de extensión BAT que también se eliminará a sí mismo. En la imagen siguiente podemos evidenciar dicha ejecución:
El segundo ejecutable es ZBot, el malware detrás de la botnet Zeus. Es detectado por las soluciones de ESET como Win32/Spy.Zbot. De esta forma, unos pocos segundos luego de la ejecución del falso mensaje de voz, el único proceso presente será este malware. A lo largo de todo el ciclo, el malware manipulará los controladores de sonido del sistema operativo infectado, simulando ser un verdadero archivo de audio. Además, analizando las strings de algunos de ellos veremos que contienen información relativa a archivos reales de Windows, probablemente para ocultar sus fines maliciosos al analizarlos. A continuación podemos ver una captura al respecto:
Vemos entonces que estos cibercriminales se valen de la popularidad de WhatsApp para su campaña. Para no ser víctima de casos como este, es importante contar con una solución de seguridad que detecte la amenaza como las soluciones de ESET. Además, siempre es importante verificar si la información en cuestión, en este caso el mensaje de voz, es verídica.