Ya está más que claro que una empresa respetable jamás enviaran correos con links de descargas, menos solicitándote claves. Solo que algunos no lo saben y se dejan llevar por la tentación de ser el ganador de un premio increíble, aún sabiendo que no han participado voluntariamente en nada.
A mi me han llegado infinidad de correos, incluso diciéndome que alguien en medio oriente me dejó una herencia millonaria. ¡PAMPLINAS! Simplemente no creo…
El problema viene cuando la tentación es más fuerte y queremos o necesitamos algo que nos enceguesemos y no analizamos la situación cayendo en estafas absurdas, así que debo advertirles antes que caigan en el Malware que se ha propagado en Chile a través de una campaña falsa de Claro Chile.
En esta campaña particular que utiliza de forma maliciosa la imagen de la reconocida empresa de telecomunicaciones en Chile, nos encontramos con un correo electrónico que le llega a los usuarios anunciándoles que han sido ganadores de un iPhone 6, y que lo único que deben hacer es descargar e imprimir un comprobante para reclamar su premio.
En qué consiste la amenaza
En un análisis dinámico de la amenaza realizado por ESET, nos encontramos con información sobre el comportamiento del Malware.
El archivo descargado inicialmente corresponde a un ejecutable de Windows que tiene un peso de menos de 1MB. En el momento que es ejecutado en la máquina del usuario a simple vista no ocurre nada, pues no se abre el supuesto formulario descargado.
Pero si analizamos los procesos que se empiezan a ejecutar en memoria, nos encontramos con que la ejecución de este archivo crea un nuevo archivo ejecutable en una carpeta del sistema, y una vez que termina de escribirlo cierra el proceso inicial y ejecuta el archivo recientemente creado.
En la siguiente imagen podemos ver una captura de cómo inicia este proceso, que una vez finalizado nos arroja un nuevo archivo con una decenas de megas más de peso que el original, lo cual nos lleva a pensar que esta primera ejecución lo que hace es desempaquetar el archivo original.
Entre otras acciones maliciosas, los códigos maliciosos detectados como la varianteWin32/TrojanDownloader.Zurgop.BK permiten al atacante descargar archivos al dispositivo de la víctima desde otra computadora o desde algún sitio particular de Internet, ejecutar archivos, actualizar la versión del código malicioso, recolectar y enviar información del sistema afectado e incluso desinstalar el archivo malicioso de forma remota.
La idea es que no caigamos en este tipo de amenazas, independiente si no tenemos «nada interesante» en nuestros compus que «puedan robar o espiar», el hecho que nuestros computadores se conviertan en marionetas manejadas por quizás quién, es peligroso…