WhatsApp para PC: garantiza un troyano banquero

Acabamos de recibir un mensaje spam en portugués con el siguiente texto:

208214226

En resumen, el mensaje señala que WhatsApp para PC está finalmente a disposición del público y que el destinatario tiene 11 invitaciones pendientes de amigos en su cuenta. El mensaje de correo luce así:

208214227

Al activar el enlace, se envía a la víctima a un servidor pirata en Turquía desde donde se lo direcciona a una cuenta Hightail (Yousendit) para que descargue el troyano inicial, que en el sistema se parece a un archivo de instalación de 64 bits:

208214228

Pero en realidad se trata de una app estándar de 32 bits con una moderada detección VT:

208214229

Este descargador posee algunas funciones que neutralizan las acciones de depuración: UnhandledExceptionFilter(), y RaiseException() que cuando se ejecuta descarga otro troyano: el banquero. Esta vez, el programa malicioso proviene de un servidor en Brasil y tiene una baja detección VT de 3 de 49. El troyano banquero que acaba de descargarse tiene el icono de un archivo mp3. La mayoría de los usuarios lo activaría, especialmente después de ver que su peso es de 2,5Mbps.

208214230

Para dificultar su detección, este troyano también posee algunas funciones que bloquean las acciones depuradoras del equipo, y está escrito en Delphi XE5 de Embarcadero:

208214231

Una vez que se ejecuta, el programa malicioso se pone en contacto con la consola de estadísticas de infecciones de los ciberdelincuentes, y cuando se abre, un puerto local 1157 envía la información robada en formato Oracle DB. Además, descarga otros programas maliciosos en el sistema, algunos de los cuales tienen un tamaño de hasta 10Mb.
Este troyano sigue el estilo clásico de los programas maliciosos creados en Brasil.

Kaspersky Anti-Virus detecta estos programas maliciosos con el método heurístico. Es necesario que estemos alertas para evitar caer en la trampa.

Puedes seguirme en Twitter: @dimitribest

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *