Atenti: Falso mensaje de WhatsApp descarga flor de virus que roba información bancaria

El Laboratorio de Investigación de ESET Latinoamérica informó que detectó una muestra de una campaña que relaciona al servicio de mensajería entre teléfonos móviles WhatsApp y Zeus, una de las amenazas informáticas más populares, especializada en el robo de información personal y credenciales bancarias.

La infección se realiza a través de la recepción de un correo que simula contener un mensaje de voz de WhatsApp y posee adjunto un archivo comprimido llamado Missed-message.zip. Al descomprimirlo, se obtiene un ejecutable con el mismo nombre, que funciona como “dropper”, en una técnica común usada por los atacantes para hacer que un archivo que parece inofensivo descargue otra amenaza. Así, el archivo ejecuta otro código malicioso, llamado budha.exe, que también tiene la misma funcionalidad, explicaron desde ESET Latinoamérica.

De este modo, el segundo dropper inicia un proceso llamado kilf.exe que tiene la función de “limpiar” la escena, borrando los archivos mencionados anteriormente gracias a un archivo de extensión BAT que también se elimina a sí mismo. Luego aparece un segundo ejecutable, el malware detrás de la botnet Zeus (ZBot) que es detectado por las soluciones de ESET como Win32/Spy.Zbot, aseguran en la empresa.

A lo largo de todo el ciclo, el malware manipula los controladores de sonido del sistema operativo infectado, simulando ser un verdadero archivo de audio.

“Estos cibercriminales se valen de la popularidad de WhatsApp para su campaña. Para no ser víctima de casos como este, es importante contar con una solución de seguridad que detecte la amenaza. Además, recomendamos verificar si la información en cuestión, en este caso el mensaje de voz, es verídica,” comentó Raphael Labaca Castro, Coordinador de Awareness & Research de ESET Latinoamérica.