¿Te gustaría café con Zeus?

A los ciberdelincuentes les gusta utilizar cartas fraudulentas para engañar a los usuarios e inducirlos a abrir los adjuntos maliciosos. Este artículo es acerca de dos de estos engaños: un mensaje de un remitente conocido (banco, red social, proveedor de servicios u otra organización que pueda interesarle al destinatario) y un asunto intrigante o alarmante. Un ataque con mensajes fraudulentos supuestamente enviados por la cadena de café Starbucks combina ambas argucias.

El mensaje detectado dice que hace algunas horas un amigo hizo un pedido de regalo en Starbucks para el destinatario y que va a celebrar una ocasión especial en una cafetería de la famosa cadena. El amigo misterioso desea guardar el anonimato, para disfrutar la intriga que acaba de crear, pero ha estado enviando invitaciones con los detalles de un menú especial, que se encuentra en el adjunto. Al final, le desean al destinatario una estupenda velada.

Todos los mensajes se enviaron con alta importancia. Además, las direcciones, creadas en los servicios gratuitos de correo de Gmail y Yahoo, cambian de un mensaje a otro, y parecen ser combinaciones generadas aleatoriamente, como incubationg46@, mendaciousker0@, etc.

El adjunto es un archivo .exe y los ciberdelincuentes no se han tomado la molestia de camuflarlo como un archivo comprimido o con una doble extensión en el nombre de archivo. Al parecer, estaban convencidos de que el feliz destinatario abriría el adjunto sin sospechas de por medio. Kaspersky Lab detecta el archivo adjunto como Rootkit.Win32.Zbot.sapu, una modificación de uno de las familias más notables de spyware Zbot (ZeuS). Los ciberdelincuentes usan estas aplicaciones para robar información confidencial. Esta versión de Zbot es capaz de instalar un rootkit llamado Rootkit.Win32.Necurs o Rootkit.Win64.Necurs, cuyo objetivo es neutralizar las soluciones antivirus y otras soluciones de seguridad.