Kaspersky Lab: Mensaje de WhatsApp para PC descarga troyano bancario

Los expertos de Kaspersky Lab han detectado una campaña de spam donde los ciberdelincuentes utilizan métodos de ingeniería social para que los usuarios hagan clic en un enlace malicioso promocionando la falsa llegada del servicio de WhatsApp para PCs. La campaña se propaga a través de correo electrónico y tiene como objetivo descargar un troyano bancario en el equipo de sus víctimas para robarle información sensible y, finalmente, su dinero.

El mensaje spam, escrito en portugués, le indica a su víctima que WhatsApp para PC esta ahora disponible y que el recipiente ya tiene invitaciones pendientes de sus amistades en su cuenta. Al momento que la víctima hace clic en el enlace, este es dirigido a un servidor en Turquía y después es redireccionado al servicio de Hightail basado en la nube para descargar el troyano inicial. En cuanto esté es activado, descarga un troyano bancario al equipo de la víctima.

“El malware viene de un servidor en Brasil y tiene la capacidad de robar dinero de víctimas de ese país como de otros de la región. El troyano bancario se instala como un icono de archivo mp3, el cual es familiar para la mayoría de usuarios lo que incrementa la probabilidad de que ellos hagan clic en él, especialmente viendo que es un archivo de solo 2.5Mb”, comentó Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina.

En cuanto el troyano está operativo, se reporta a la consola de estadísticas de infección de los cibercriminales y cuando se abre, el portal local 1157 envía información robada en el formato de base de datos de Oracle. Por si esto fuera poco, el portal también instala nuevo malware en los sistemas de sus víctimas.

Solo algunos antivirus lo detectan. Kaspersky Anti-Virus detecta todos los ejemplos mencionados de forma heurística. (ver nota al final)

Kaspersky Lab recomienda a los usuarios de WhatsApp o cualquier otro programa de mensajería instantánea que sean precavidos. Incluso si el mensaje procede de personas conocidas es posible que el equipo haya sido infectado y esté controlado por cibercriminales. También se recomienda a los usuarios hacer lo siguiente para asegurar que sus equipos se mantengan seguros:

•Instalar y mantener actualizada la solución de seguridad
•Mantener el sistema operativo actualizado
•Actualizar todas las aplicaciones de terceros
•Utilizar un navegador seguro para acceder a Internet
•Usar contraseñas seguras que contenga letras, números y símbolos (? #!., Etc …) y que sean distintas para cada sitio web o recurso
•Usar el sentido común

Información adicional sobre esta campaña maliciosa está disponible en: http://www.securelist.com/en/blog/208214225/WhatsApp_for_PC_a_guaranteed_Trojan_banker

 Fuente

NOTA:

ANALISIS DE VIRUSTOTAL CON LOS AV QUE LO CONTROLAN ACTUALMENTE:

MD5 5a9cf86a23d897ff5dac864807da8244
SHA1 eed106fc14d107ce35fb0b96c3572d0d80d921bd
File size 458.0 KB ( 468992 bytes )
SHA256: 0b83606de4862fc4a9d01ba8b232c28d97018c79d2bd087e4f6baacae97d507c
Nombre: A9_file_install_x64.1.3.44.exe
Detecciones: 33 / 49
Fecha de análisis: 2014-01-23 07:25:45 UTC

0 2

Antivirus  Resultado  Actualización
AVG  Zbot.FBQ  20140123
Ad-Aware  Gen:Trojan.Heur.CGW@Y2zZfPl  20140123
AntiVir  TR/Dldr.Small.AP.449  20140123
Avast  Win32:Malware-gen  20140122
Baidu-International  Trojan.Win32.Delf.AFL  20140122
BitDefender  Gen:Trojan.Heur.CGW@Y2zZfPl  20140123
Commtouch  W32/PWS.SBEM-1691  20140123
DrWeb  Trojan.DownLoad.64833  20140123
ESET-NOD32  a variant of Win32/TrojanDownloader.Delf.AFL  20140123
Emsisoft  Gen:Trojan.Heur.CGW@Y2zZfPl (B)  20140123
F-Secure  Gen:Trojan.Heur.CGW@Y2zZfPl  20140123
Fortinet  W32/Delf.AFL!tr  20140123
GData  Gen:Trojan.Heur.CGW@Y2zZfPl  20140123
Ikarus  Virus.Win32.Zbot  20140123
K7AntiVirus  Trojan-Downloader ( 004912111 )  20140122
K7GW  Trojan-Downloader ( 004912111 )  20140122
Kaspersky  HEUR:Trojan-Downloader.Win32.Generic  20140123
Kingsoft  Win32.Troj.Undef.(kcloud)  20130829
Malwarebytes  Trojan.Downloader.DF  20140123
McAfee  PWSZbot-FFY!5A9CF86A23D8  20140123
McAfee-GW-Edition  PWSZbot-FFY!5A9CF86A23D8  20140122
MicroWorld-eScan  Gen:Trojan.Heur.CGW@Y2zZfPl  20140123
Microsoft  TrojanDownloader:Win32/Small.gen!AP  20140123
Norman  Troj_Generic.SFLKX  20140123
Panda  Generic Malware  20140122
Qihoo-360  Win32/Trojan.Downloader.988  20140122
Sophos  Troj/DelfDlr-C  20140123
Symantec  Trojan.Gen  20140123
TrendMicro  TROJ_GEN.R047C0TAK14  20140123
TrendMicro-HouseCall  TROJ_GEN.R047C0TAK14  20140123
VBA32  suspected of Trojan.Downloader.gen.h  20140122
VIPRE  Trojan.Win32.Banload.sse (v)  20140123
ViRobot  Trojan.Win32.S.Downloader.468992  20140123

ms, 23-1-2014