La infección se realiza a través de la recepción de un correo que simula contener un mensaje de voz de WhatsApp y posee adjunto un archivo comprimido llamado Missed-message.zip.
Al descomprimirlo, se obtiene un ejecutable con el mismo nombre, que funciona como dropper, una técnica común usada por los atacantes para hacer que un archivo que parece inofensivo descargue otra amenaza.
El archivo ejecuta otro código malicioso, llamado budha.exe, que también tiene la misma funcionalidad. De este modo, el segundo dropper inicia un proceso llamado kilf.exe que tiene la función de “limpiar” la escena, borrando los archivos mencionados anteriormente gracias a un archivo de extensión BAT que también se elimina a sí mismo.Luego aparece un segundo ejecutable, el malware detrás de la botnet Zeus (ZBot) que es detectado por las soluciones de ESET como Win32/Spy.Zbot.
A lo largo de todo el ciclo, el malware manipula los controladores de sonido del sistema operativo infectado, simulando ser un verdadero archivo de audio.
“Estos cibercriminales se valen de la popularidad de WhatsApp para su campaña. Para no ser víctima de casos como este, es importante contar con una solución de seguridad que detecte la amenaza.
Raphael Labaca Castro, Coordinador de Awareness & Research de ESET Latinoamérica recomienda verificar si la información en cuestión, en este caso el mensaje de voz, es verídica,”.