Variante de Zbot se propaga desde webs legítimas españolas

La propagación de troyanos con finalidad de infectar equipos y que estos pasen a formar parte de una botnet es una de las amenazas más comunes en la actualidad. Se usan varias estrategias para conseguir infectar el usuario aunque, como vamos a ver, hay algunas que se mantienen, muy probablemente debido a que su porcentaje de éxito es lo suficientemente elevado.

Durante el día de ayer empezamos a recibir una serie de correos en español que usaban la conocida técnica de adjuntar enlaces para la descarga de una supuesta factura o documento importante. Los detalles a tener en cuenta son que los correos tenían como remitente cuentas de correo reales y los enlaces correspondían a dominios españoles que habían visto su seguridad comprometida y estaban albergando malware sin saberlo.

Este tipo de técnica fue usada hace unos meses y en este mismo blog la sometimos a un análisis a fondo. La técnica usada en esta ocasión apenas ha sufrido variaciones, mientras que la utilización de dominios españoles comprometidos sigue siendo la más importante. Si pulsamos sobre el enlace proporcionado en el correo, comprobaremos cómo se produce la descarga del archivo comprimido que contiene la amenaza a nuestro disco.

Hay que destacar que entre los enlaces comprometidos hay dominios de todo tipo, incluyendo un portal web de centros educativos que pertenece al Gobierno de una comunidad autónoma española. Cabe destacar que la mayoría de enlaces que se vieron comprometidos ya han sido bloqueados, pero estamos observando nuevas variantes activas desde esta pasada madrugada que utilizan nuevos enlaces.

Tras la descarga del archivo comprimido a nuestro disco y realizar su descompresión, nos encontramos con la burda pero efectiva técnica de la doble extensión, de manera que el usuario cree haber descargado un archivo PDF cuando, en realidad, es un ejecutable. No obstante, en las muestras recibidas el icono usado es el de Java en lugar del de un visor PDF como Adobe Reader o Foxit Reader, por lo que puede ser una ayuda para que el usuario desconfíe del archivo.

Obviamente, si contamos con una solución antivirus actualizada, esta amenaza debería ser bloqueada nada más pulsemos sobre el enlace. En el caso de las soluciones de seguridad de ESET, el archivo malicioso se identifica como Troyano Win32/Spy.Zbot.YW.

Tal y como hemos visto, los ciberdelincuentes se dedican a explotar una y otra vez aquellas técnicas que han tenido éxito en el pasado. Con solo un par de retoques es fácil que los usuarios vuelvan a caer en la trampa, engañados por enlaces que parecen de confianza.

Es por este motivo que, desde el laboratorio de ESET en Ontinet.com, recomendamos mucha precaución cuando recibamos correos de este tipo. El hecho de que estén en español y apunten a enlaces españoles de webs legítimas puede hacer que muchos usuarios se confíen, descarguen y ejecuten el archivo malicioso. Por eso, ante la duda, mejor evitar abrir este tipo de correos.

Josep Albors

[Podcast] Muleros, botnets y cibercrimen