Se ha informado sobre una campaña que, a través de un correo electrónico, descarga un troyano en los equipos afectados.
Esta campaña utiliza la imagen de una reconocida empresa de telecomunicaciones e informa a los usuarios que han sido ganadores de un iPhone 6, y que para reclamarlo deben descargar e imprimir un comprobante
Al momento de descargar el supuesto formulario, se descarga un archivo ejecutable de la familia Win32/TrojanDownloader.Zurgop.
El archivo descargado inicialmente corresponde a un ejecutable de Windows, con un peso menor a 1MB. En el momento que es ejecutado en el equipo del usuario a simple vista no ocurre nada, pues no se abre el supuesto formulario descargado.
Pero al analizar los procesos que se empiezan a ejecutar en memoria, nos encontramos con que la ejecución de este archivo crea un nuevo archivo ejecutable en una carpeta del sistema, y una vez que termina de escribirlo cierra el proceso inicial y ejecuta el archivo recientemente creado. Una vez finalizado el proceso, arroja un nuevo archivo con una decena de megas más de peso que el original, lo que indicaría que esta primera ejecución lo que hace es desempaquetar el archivo original.
Los códigos maliciosos detectados como la varianteWin32/TrojanDownloader.Zurgop.BK permiten al atacante descargar archivos al dispositivo de la víctima desde otra computadora o desde algún sitio particular de Internet, ejecutar archivos, actualizar la versión del código malicioso, recolectar y enviar información del sistema afectado e incluso desinstalar el archivo malicioso de forma remota.
