Zeus: ahora disfrazado de una actualización de antivirus

La semana pasada, Kaspersky Lab identificó una operación de mensajería masiva que trataba de estafar a los usuarios enviándoles cartas en nombre de los principales proveedores de servicios de seguridad informática. Los mensajes que detectamos adoptaban los nombres del producto y servicios de Kaspersky Lab, McAfee, ESET NOD32 y muchos otros.

El texto y organización general de cada carta seguía el mismo patrón, sólo se cambiaba los nombres del remitente y las soluciones de seguridad informática que se mencionan. En sus mensajes, los cibercriminales invitaban al lector a instalar una importante actualización de seguridad para su solución antivirus, lo que le garantizaba protección contra un nuevo malware que se supone que está haciendo estragos en la red. Para “protegerse”, el usuario sólo debe abrir el archivo comprimido adjunto y el ejecutable que tiene guardado. Como es costumbre, los escritores urgían a sus víctimas para que actúen con prontitud y no tengan tiempo de dudar del remitente.

Uno de los mensajes fraudulentos

Pero hasta el nombre del archivo adjunto debería bastar para poner alerta al usuario: tiene muchos números, lo que significa que se generó de forma arbitraria.

En realidad hay un programa malicioso en el archivo comprimido adjunto, que los productos Kaspersky Lab detectan como Trojan-Spy.Win32.Zbot.qsjm. Este troyano pertenece a la célebre familia Zeus/Zbot y tiene la función de robar información privada del usuario, en especial sus datos bancarios y financieros. El programa permite a los cibercriminales alterar el contenido de sitios bancarios insertándoles scripts maliciosos para robar datos de autentificación, como las credenciales de acceso y los códigos de seguridad. Con este fin, Trojan-Spy.Win32.Zbot.qsjm también puede capturar imágenes de la pantalla, grabar videos, interceptar las teclas que se presionan, etc. Es más este troyano se destaca porque no accede a un centro de comando y control predeterminado para recibir órdenes y un archivo de configuración, sino que usa un protocolo P2P para recibir estos datos de otros equipos infectados.

Estos son otros ejemplos de mensajes con archivos maliciosos, todos tomados de los correos que hemos descubierto:

El campo de asunto en estos mensajes sigue el mismo formato, los cibercriminales sólo cambian el nombre del producto de seguridad que imitan. Los mensajes se envían desde la cuenta de un usuario verdadero, que seguramente fue secuestrada después de que su ordenador se infectara con un programa malicioso y se volviera parte de una red zombi.

A causa de este incidente, quiero recordar a los lectores que ninguna empresa de seguridad informática con buena reputación enviaría jamás actualizaciones para sus productos mediante un archivo adjunto a un correo electrónico. Es más, te recomiendo que nunca abras ningún archivo adjunto a un correo electrónico, a no ser que lo estés esperando y conozcas al remitente.