Autores
Acabamos de recibir un mensaje spam en portugués con el siguiente texto:
En resumen, el mensaje señala que WhatsApp para PC está finalmente a disposición del público y que el destinatario tiene 11 invitaciones pendientes de amigos en su cuenta. El mensaje de correo luce así:
Al activar el enlace, se envía a la víctima a un servidor pirata en Turquía desde donde se lo direcciona a una cuenta Hightail (Yousendit) para que descargue el troyano inicial, que en el sistema se parece a un archivo de instalación de 64 bits:
Pero en realidad se trata de una app estándar de 32 bits con una moderada detección VT:
Este descargador posee algunas funciones que neutralizan las acciones de depuración: UnhandledExceptionFilter(), y RaiseException() que cuando se ejecuta descarga otro troyano: el banquero. Esta vez, el programa malicioso proviene de un servidor en Brasil y tiene una baja detección VT de 3 de 49. El troyano banquero que acaba de descargarse tiene el icono de un archivo mp3. La mayoría de los usuarios lo activaría, especialmente después de ver que su peso es de 2,5Mbps.
Para dificultar su detección, este troyano también posee algunas funciones que bloquean las acciones depuradoras del equipo, y está escrito en Delphi XE5 de Embarcadero:
Una vez que se ejecuta, el programa malicioso se pone en contacto con la consola de estadísticas de infecciones de los ciberdelincuentes, y cuando se abre, un puerto local 1157 envía la información robada en formato Oracle DB. Además, descarga otros programas maliciosos en el sistema, algunos de los cuales tienen un tamaño de hasta 10Mb.
Este troyano sigue el estilo clásico de los programas maliciosos creados en Brasil.
Kaspersky Anti-Virus detecta estos programas maliciosos con el método heurístico. Es necesario que estemos alertas para evitar caer en la trampa.
Puedes seguirme en Twitter: @dimitribest
Autores
De los mismos autores
En la misma categoría
WhatsApp para PC: garantiza un troyano banquero