Zeus se disfraza de antivirus

0

La pasada semana, los laboratorios Kaspersky identificaron un envío masivo de correos electrónicos con destino a altos cargos de empresas proveedoras de servicios de seguridad de las TI (Tecnologías de la Información). Los mensajes detectados empleaban nombres de productos y servicios de las siguientes empresas: Kaspersky Lab, McAfee, ESET NOD32 y otras muchas.

El texto y disposición general de cada escrito compartía la misma template (diseño); tan sólo se modificaban los nombres y soluciones de seguridad mencionadas. En sus mensajes, los cibercriminales invitaban al lector a instalar una importante actualización para su solución de seguridad, con el objetivo de protegerse antes una nueva pieza de malware supuestamente haciendo estragos en la red. Para llevar a cabo el proceso, el usuario tan sólo debía abrir el documento adjunto en ZIP y lanzar el ejecutable.

No resulta soprendente que los delincuentes pusieran énfasis en que la actualización era muy urgente y había que tomar medidas, ya que así anulaban el tiempo de análisis que el usuario pudiera haberle dedicado a analizar la procedencia. 

Actualización importante del sistema requiere acción inmediata

Sin embargo, el nombre del documento adjunto podría hacer saltar las alarmas en más de una ocasión: demasiados números, lo cual significa que ha sido generado de una forma arbitraria:

Extensa cadena de números que conforma el nombre del parche

Como es lógico, dentro del documento adjunto se incluía un programa malicioso, detectado por el antivirus Kaspersky como Trojan-Spy.Win32.Zbot.qsjm. Este troyano pertenece a la renovada “familia” Zeus o Zbot, diseñado para robar información confidencial de usuario, preferiblemente datos financieros o bancarios. Usando este malware, los cibercriminales pueden modificar los contenidos de sitios web bancarios, platando scripts en ellos para robar datos de acceso o credenciales. Para este fin, Trojan-Spy.Win32.Zbot.qsjm también puede tomar capturas de pantalla e incluso capturar vídeo, registrar pulsaciones de teclado (keylogging), etc. Además, el troyano realiza una labor notable en el sentido de que no se conecta a los servidores de Comando predeterminados (para recibir configuración o instrucciones), sino que usa un protocolo P2P para recibir estos datos desde otros ordenadores infectados.

Aquí podéis ver algunos ejemplos más de mensajes que contienen adjuntos maliciosos, todos extraídos de las listas de envío de emails que ha conseguido Kaspersky:

Ni siquiera Windows Defender, de Microsoft, se libra de acaparar la atención de los scammers.

Las lineas “Asunto” de estos mensajes siguen la misma plantilla, cambiando únicamente los nombres de los productos de seguridad en ellos. Los emails se envían desde buzones de correo de usuarios reales, aparentemente secuestrados después de que sus PCs hayan quedado comprometidos con los programas maliciosos, formando parte de la Botnet.

Siguiendo este incidente, conviene recordar que no existen distribuidores reputados de Seguridad TI que nos envíen recordatorios de necesidad de actualización de sistema mediante un ZIP adjunto a una dirección de email. Vamos más allá: no se debe abrir ningún correo que no esperemos y que contenga adjuntos, como norma.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR