Oleada masiva de propagación de Zeus en Latinoamérica

En las últimas horas hemos recibido denuncias de varios casos de correos electrónicos que propagan una nueva variante del troyano Zeus (o Zbot) con una muy baja detección de parte de los antivirus.

Los correos llegan con diversos asuntos como "hola", "para usted", "saludos", "recuerda", "Estoy en estado de shock", "eres tu!", "estas es tu casa?", son muy simples y sólo contienen un enlace a la descarga de una supuesta fotografía.

Si se ingresa a los enlaces señalados se muestra la siguiente página, donde se ofrece un archivo ejecutable para descargar:

Como puede observarse todos los enlaces dañinos comienzan con arc_idXXXX, donde XXXX es un número y podría ser la forma de identificar este tipo de correos.

Al momento de escribir el presente, archivo.exe era detectado por muy pocos antivirus, si bien seguramente esta tasa crecerá en las próximas horas cuando la amenaza se comience a propagar masivamente.

Al verificar el código fuente de la página puede constarse que la misma también descarga un scriptofuscado al usuario.

Al analizar elscript se puede ver que se descarga un archivo que intenta explotar vulnerabilidades en Java /games/getJavaInfo.jar y en XMLDOM en sistemas operativos Win, Mac, Linux, FreeBSD, iPhone, iPod, iPad, WinCE, WinMobile y PocketPC.

Un análisis preliminar indicaría que esta variante en particular está orientada a robar credenciales de usuarios latinos.

¡Gracias Hernán por el reporte!

Actualización 28/07: siguen llegando otros correos con asuntos distintos y enlaces a otros sitios web, sin embargo todos tienen en común que los dominios comienzan con arc_idXXXX.

Cristian de la Redacción de Segu-Info