Una nueva campaña de propagación de códigos maliciosos utiliza WhatsApp y Facebook como pretexto para conseguir que usuarios desprevenidos se vean infectados con una variante del troyano Win32/Spy.Banker.ZSA.

En un mensaje de correo electrónico que nos llegó al Laboratorio de Investigación de ESET Latinoamérica se pudo detectar una campaña que busca infectar a los usuarios simulando que alguien se entera de un engaño a través de conversaciones de WhatsApp y Facebook, y que por eso va a tomar represalias. Para eso, proporciona enlaces con evidencias:


Sin embargo, al ingresar se descarga una amenaza en la computadora del usuario. En este punto, es importante destacar que uno de los tres sitios web comprometidos desde los cuales se descargaba este primer troyano corresponde a un sitio web de Latinoamérica.

Cuando el usuario hace clic en alguno de estos enlaces, se va a iniciar la descarga de un archivo que se encuentra comprimido en formato ZIP. Lo que está comprimido no es realmente una conversación de WhatsApp o Facebook sino un troyano que descarga un nuevo código malicioso a la máquina de la víctima. Este código malicioso es detectado por las soluciones de ESET como Win32/TrojanDownloader.Banload.SGH.

Al analizar este código malicioso se pudo determinar que estaba empaquetado utilizando UPX. Después de desempaquetar el ejecutable y hacer un análisis de las strings del archivo, se encontraron las direcciones desde las cuales se descarga un nuevo troyano. En este caso, se trata del Win32/Spy.Banker.ZSA que mencionamos inicialmente:

Nuevamente resalta que uno de los sitios comprometidos utilizados para descargar este nuevo código malicioso corresponde  a un sitio web en español.

Analizando las strings de este nuevo archivo, que está escrito utilizando Delphi, se pueden encontrar direcciones de algunas entidades financieras de Argentina.

Analizando el comportamiento de esta amenaza, se pudo determinar que si el usuario ejecuta este troyano y luego trata de ingresar a uno de los sitios de los bancos afectados será direccionado automáticamente a otra página web similar a la del banco afectado buscando robar información sensible, como la tarjeta de coordenadas completa.

Por lo tanto, es importante que nuestros usuarios estén atentos a este tipo de mensajes para no caer en la trampa de los ciberdelincuentes. Hace unos pocos días fuimos testigos de cómo un gusano se propagó velozmente por Skype, dejando más de 300 mil afectados. Si bien este caso hasta el momento no ha tenido la misma dimensión, nos muestra el alcance que pueden llegar a tener.

En los próximos días estaremos ampliando con más detalles sobre el comportamiento de este código malicioso, por lo tanto recomendamos prestar suma atención con este tipo de mensajes para evitar el robo de credenciales bancarias.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research