El Laboratorio de Investigación de ESET Latinoamérica ha detectado una muestra de una campaña por correo electrónico que aprovecha la popularidad de WhatsApp para descargar Zeus, una de las amenazas más populares que se especializa en el robo de información personal y datos bancarios.
¿Cómo pueden infectarse con el virus Zeus y cómo funciona?
La infección se realiza a través de la recepción de un correo electrónico que simula contener un mensaje de voz de WhatsApp y posee adjunto un archivo comprimido llamado Missed-message.zip. Al descomprimirlo, se obtiene un ejecutable con el mismo nombre, que funciona como dropper, una técnica común usada por los atacantes para hacer que un archivo que parece inofensivo descargue otra amenaza. Así, el archivo ejecuta otro código malicioso, llamado budha.exe, que también tiene la misma funcionalidad.
De este modo, el segundo dropper inicia un proceso llamado kilf.exe que tiene la función de “limpiar” la escena, borrando los archivos mencionados anteriormente gracias a un archivo de extensión BAT que también se elimina a sí mismo. Luego aparece un segundo ejecutable, el malware detrás de la botnet Zeus (ZBot) que es detectado por ESET como Win32/Spy.Zbot.
A lo largo de todo el ciclo de infección, el malware manipula los controladores de sonido del sistema operativo infectado, simulando ser un verdadero archivo de audio.
Cabe mencionar que este no es un virus de WhatsApp, es decir, que no infecta dispositivos móviles, si no, que se basa en la popularidad de este cliente de mensajería para enviar correos electrónicos con el archivo adjunto en cuestión y que infecta PCs.
Más información en el blog de ESET