FedEx se convierte en objetivo de una nueva ola de spam

Bitdefender acaba de anunciar la aparición de una nueva ola de spam que utiliza el nombre de la compañía de transportes FedEx y que, según los analistas de la firma, puede desactivar cortafuegos, robar datos financieros, hacer capturas de pantalla y crear logs de las sesiones de trabajo vigentes.

Así, la nueva amenaza hace uso del nombre de la compañía de transporte con el objetivo de  que “los usuarios se descarguen malware extremadamente peligroso”. Esta nueva ola de spam se difunde a través del correo electrónico, “con el falso pretexto de informar a los clientes de que una supuesta entrega a través FedEx, enviada hace un mes, no ha podido llegar a su destino”, asegura la firma. Además, el mensaje pide al afectado que descargue e imprima la factura adjunta para recuperar el envío, como aparece en la imagen inferior:

Sin embargo, la  mencionada factura adjunta es un malware conocido como Trojan.Spy.ZBot o alguna de sus variantes, como la denominada Trojan.Spy.Wsnpoem.HA.

“Este malware fue especialmente diseñado para sustraer datos críticos de banca electrónica. Una vez entra en el sistema, se instala en el directorio Windows\System32 donde crea una carpeta wsnpoem, oculta mediante técnicas rootkit, que contiene los archivos cifrados ntos.exe, audio.dll y video.dll, es decir, los dos archivos con extensiones “DLL” se utilizan para funciones de configuración y almacenamiento”. Además, y según los laboratorios de BitDefender, también crea una entrada en el registro para que se active cada vez que se inicia Windows. “Para recoger información sensible, se inyecta en los procesos winlogon.exe y iexplorer.exe y descarga uno o más archivos desde un servidor remoto. Utiliza estos archivos para almacenar los datos recogidos a través de la monitorización de la actividad del navegador web”, destaca la firma.

Por último, cabe señalar que la familia de los Zbot puede desactivar cortafuegos, robar datos financieros, hace capturas de pantalla y crea logs de las sesiones de trabajo vigentes. Además, es capaz de descargar componentes complementarios y facilitar el acceso remoto de cibercriminales a los equipos infectados.

Whitepaper emc-cio-it-as-a-service-wp Whitepapers