Hace aproximadamente un mes, publicamos en nuestro blog una amenaza que utilizaba a la cantante colombiana Shakira para propagar malware en Internet. En aquella ocasión, se trataba de un supuesto video que pedía descargar una firma digital falsa para instalar un troyano cuyo objetivo era robar información.
En esta oportunidad, podemos observar un troyano que utiliza un portal de noticias conocido para engañar al usuario. Esta amenaza le llega a los usuarios por correo electrónico indicando que contiene escenas íntimas de la cantante. En el artículo explican además, que este video fue obtenido tras un supuesto robo y que para conocer la identidad de la persona que aparece, oculta por un círculo negro, deberán descargarlo. De esta forma, los atacantes explotan la Ingeniería Social que incitará a los usuarios más curiosos en descargar el video:
Al hacer clic en el enlace, se pide para descargar un archivo con el nombre de la artista del tipo EXE. Al ejecutarse el supuesto video, realiza diversas modificaciones en el sistema y en los atributos de algunos archivos, con el objetivo de robar información. Al finalizar todas las operaciones en el sistema se autoelimina sin dejar rastros aparentes para el usuario. No obstante, como pueden ver en la figura a continuación, realiza severas modificaciones en el registro:
Este código malicioso, del tipo troyano, es detectado por ESET con la firma Win32/Kryptik.ABH y marca una nueva campaña de propagación utilizando la misma temática que ya habíamos visto. Se recomienda a los usuarios que tomen precaución cuando reciban este tipo de mensajes y sobre todo cuando realicen estas búsquedas en Internet, dado que, como hemos podido observar ahora y anteriormente, este malware se está propagando tanto por correo electrónico como por las redes sociales.
Para eso, recomendamos utilizar siempre una herramienta de detección proactiva para detectar este tipo de casos y poder navegar en forma tranquila y segura en Internet.
Raphael Labaca Castro
Especialista de Awareness & Research
