El día de nochebuena y en general las vacaciones de Navidad están ya muy cerca, y los ciberdelincuentes ya han comenzado a enviar tarjetas de felicitación con sus «mejores deseos» y su mejor malware. La especialidad de este mes parece ser un plato principal de ZBot, servido con una guarnición del backdoor Zapchast, que es exactamente lo que necesitas para infectar tu sistema antes de comenzar comprar en Internet tus regalos de Navidad.
El mensaje simula provenir de una joint-venture navideña entre el motor de búsqueda Google y la red social Facebook para ofrecer acceso a la descarga de Google Chrome OS ® ™. Para ello, sólo tienes que abrir el archivo HTML adjunto, que contiene un trozo de código JavaScript ofuscado. Tan pronto como la página se abra en un navegador, el usuario será redirigido a un archivo ejecutable .
Código Javascript que conduce al malware
El archivo binario descargado es una aplicación. NET, lo que significa que se requiere. NET Framework para que se ejecute correctamente. Este es un caso típico de malware que se puede ejecutar en Windows Vista y Windows 7, ya que ambas versiones del sistema operativo vienen con Net Framework pre-instalado. Una vez ejecutado, el archivo binario suelta otro programa de descarga (identificado por BitDefender como Trojan.Generic.KD.78236), así como un archivo legítimo llamado system.data.sqlite.dll. Este último downloader trae un par de archivos que se copian en Documents and Settings /% usuario% /templates, en % system32, así como en el directorio de Windows como un protector de pantalla.
Todos estos archivos infectados son componentes de Zbot, pero el otro archivo lleva la invasión un paso más allá e instala una amenaza secundaria interceptada por BitDefender como Worm.Generic.286944. Este gusano es un ladrón de información avanzado que puede extraer datos del Registro y de los archivos de configuración, o interceptar las pulsaciones de teclado del usuario. Lo que es particularmente importante sobre este gusano es el hecho de que trata de recuperar CD-keys y los números de serie de programas, que luego pueden ser vendidos en el mercado negro. La información que recoge es depositada en una base de datos (de ahí la necesidad del archivo system.data.sqlite.dll), que será subida a una cuenta FTP. Esta instalación indirecta a través de un troyano downloader asegura que las partes de Zbot permanezcan sin ser detectadas por un período de tiempo más largo. Después de todo, es más fácil para el escritor de malware compilar un downloader normal con el fin de evadir la detección que modificar un ejemplar de malware sofisticado como Zbot.
Ejemplo de tarjeta de felicitación distribuyendo malware
No obstante, el malware tradicional de Navidad llega oculto en falsas tarjetas de felicitación. Backdoor.Zapchast.PI, nuestro segundo ejemplar, no es ninguna excepción a esta regla. Esta campaña de spam trata de atraer a los usuarios para que instalen software malicioso de forma involuntaria. Anunciado como una tarjeta de felicitación, el mensaje cuenta con un enlace apuntando a Backdoor.Zapchast.PI, en lugar de una tarjeta de felicitación, según lo prometido. Si el usuario incauto ejecuta la «tarjeta postal», instalará el código malicioso que registrará un cliente de IRC y modificará el Registro para ejecutarse con cada reinicio del sistema.
El backdoor se conecta a una lista predeterminada de canales de IRC y espera instrucciones del atacante. Algunas de las características más importantes de este bot es la posibilidad de descargar y ejecutar otros archivos según las peticiones del atacante remoto, así como recopilar información mediante la intercepción de las pulsaciones de teclado de los usuarios. Con el fin de disfrutar de unas compras navideñas seguras, asegúrese de que tiene instalada y actualizada una solución de seguridad antes de introducir información de su tarjeta de crédito. Además, es posible que desee realizar un análisis de 60 segundos con QuickScan para ver si su ordenador está infectado antes de introducir algún dato confidencial.
Prueba de comentario