Una reciente campaña de distribución de malware utiliza como gancho para infectar los ordenadores de los usuarios el servicio Microsoft Office Outlook Web Access, según informa BitDefender.
El proceso es el siguiente: los usuarios reciben un email pidiendo que apliquen una nueva configuración a su buzón de correo electrónico a fin de aplicar varias actualizaciones de seguridad nuevas. El mensaje incluye un vínculo sobre el que los usuarios deben acceder para llevar a cabo estos cambios. Dicho vínculo conduce a una web que, para hacer creer al usuario que es legítima, utiliza los logos y la imagen de Microsoft y Microsoft Office. En ella, se le pide al usuario que descargue y abra un archivo que, en teoría, contiene las actualizaciones de seguridad a aplicar. Si lo hacen, estarán introduciendo en su ordenador los siguientes ejemplares de malware:
1- Trojan.Spy.ZBot.EKF: uno de los troyanos más prolíficos y duraderos, el cual también fue distribuido hace unos meses en una campaña que utilizaba como cebo la gripe A. Este troyano inyecta código en varios procesos y añade excepciones al Firewall de Microsoft, abriendo una puerta trasera en el equipo y otorgando a éste capacidades de servidor. Esto convierte al equipo en un “zombie", es decir, en una máquina controlada por el atacante. Además, roba datos sensibles almacenados en el ordenador y se los envía a su creador, permaneciendo a la espera de las órdenes que éste le envíe.
Las últimas variantes de este ejemplar de malware también son capaces de robar información bancaria, datos de registro (usuario, contraseña,...), historial de navegación, etc., así como de hacer capturas de pantalla del escritorio del ordenador afectado.
2- Trojan.SWF.Dropper.E: se trata de una detección genérica para una serie de troyanos que comparten características similares: son archivos de Flash que no muestran ninguna imagen ni animación, sino que descargan y ejecutan en el equipo distintos ejemplares de malware (aprovechando una vulnerabilidad en Adobe Shockwave Flash). El malware que descarga es distinto en cada ocasión.
3- Exploit.HTML.Agent.AM: usa vulnerabilidades en un objeto Flash para subir malware a una página web. Una vez que esa página web sea abierta por un usuario, el troyano creará un objeto Flash modificado que permita la descarga y ejecución de un nuevo troyano en el equipo. En el momento de hacer el análisis el troyano descargado era Trojan.Spy.ZBot.EKG, pero esto podría variar.
4- Exploit.PDF-JS.Gen: es una detección genérica para archivos PDF modificados que permiten aprovechar una vulnerabilidad en el motor Javascript de Adobe PDF Reader con el fin de ejecutar código malicioso en el ordenador del usuario.
“Se trata, pues, de una amenaza muy importante ya que un solo error concluye con el ordenador plenamente infectado de malware", explica Raúl García, Responsable de Marketing de BitDefender en España, que añade: “al utilizar como cebo un servicio como Microsoft Office Outlook Web Access, muy extendido en entornos corporativos, esta amenaza deja claro que se dirige, sobre todo, contra empresas y trabajadores".
Para protegerse, BitDefender recomienda a los usuarios que no sigan los enlaces incluidos en los mensajes de procedencia desconocida, así como instalar todas las actualizaciones de seguridad de los programas que se tengan en el equipo y un completo software de seguridad.
Aquellos usuarios que deseen analizar su ordenador en busca de esta u otras amenazas, pueden utilizar gratuitamente BitDefender Online Scanner.
