Nueva variante de ZBOT (LICAT): más peligroso

por Presales Team Iberia

TrendLabs ha detectado recientemente una nueva variante del framoso ZBOT que desencripta y ejecuta un nuevo y peligroso file infector. Este particular ataque obliga al usuario a descargar una variante del conocido ZBOT que, los cibercriminales pueden utilizar para robar a los usuarios infectados cuentas bancarias y otra información confidencial.

El ciclo ZBOT-LICAT-ZBOT.

Las iniciales investigaciones sobre la nueva variante de ZBOT (llamada TSPY_ZBOT.BZY), muestran que este spyware-troyano realiza más funcionalidades maliciosas que el conocido ZBOT tradicional.

El flujo de infección que sigue este malware comienza siendo igual que ZBOT: El usuario recibe un mensaje de Spam con un link que le conduce (en caso de ser accedido) a la descarga en segundo plano de un spyware que al penetrar en el PC se queda a la espera de que el usuario acceda a algún sitio web o utilice alguna aplicación en la que introduzca datos confidenciales (número de cuenta bancaria, passwords etc). Una vez hecho esto, las credenciales son robadas. Hasta aquí, el comportamiento coincide con el ZBOT tradicional. Pero, en esta nueva variante, además, se desencripta y ejecuta un infector llamado PE_LICAT.A-O, que es capaz de infectar los ficheros .exe. En concreto,  Explorer.exe, se puede ver comprometido y desencadenarse problemas en el acceso web. Se acabarían produciendo redirecciones a sitios web infectados.

Gracias a Smart Protection Network de Trend Micro, los usuarios se encuentran protegidos. Gracias al servicio de reputación de Correo (Email Reputation Service), el mensaje de spam que es la primera vía de entrada de esta amenaza, sería bloqueado «in the cloud». El usuario no se percataría de este evento y por supuesto no se vería infectado. Pero además, el servicio de reputación web, detecta la URL que va dentro de dicho mensaje y que es considerada como maliciosa. Aparte, el sistema de reputación de ficheros de Smart Protection Network también detectaría la peligrosidad de cualquier fichero que intentara ser descargado al PC.

Para más información sobre esta amenaza, podéis acceder a este link.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.