Por Dmitry Bestuzhev

A Kaspersky Lab Expert - Postado 21 de Janeiro de 04 :54 GMT

Nós recebemos uma mensagem de spam em Português afirmando o seguinte:


 

Em suma, a mensagem diz que WhatsApp para PC está finalmente disponível e que o destinatário já tem 11 convites pendentes de amigos em sua conta. É isso que o e-mail se assemelha a: 


 

Quando a vítima clica no link, ele vai levar-lhe para um servidor hackeado na Turquia e, depois disso, será redirecionado para um Hightail (Yousendit) conta para baixar o primeiro Trojan, que na aparência do sistema de 64 bits arquivo de instalação:
 

Na realidade, trata-se de uma norma 32 bits app com um moderado VT detecção:

  

Este downloader tem algum anti-debugging funcionalidades como: UnhandledExceptionFilter() e RaiseException() e depois que estiver funcionando, o download será feito um novo Trojan que é banqueiro. Desta vez, o malware é proveniente de um servidor no Brasil e tem uma baixa detecção VC 3 De 49. O banqueiro tem baixado recentemente o ícone de um arquivo MP3. A maioria dos usuários que clicar sobre ele, principalmente depois de vê-lo é cerca de 2,5Mb em seu peso. 
 

Ele também tem alguns anti-recursos de depuração para fazer sua análise mais difícil. Ele é escrito em Delphi XE5 da Embarcadero .
 

Uma vez em funcionamento, o malware reporta-se à cibercrimes", estatísticas infecções console e quando aberta, uma porta local 1157 envia informação roubada no Oracle DB format. Além disso, downloads novo malware no sistema; alguns exemplos são 10Mb de tamanho. Este é o estilo clássico de um brasileiro e criou um malware. 

 

Por favor, mantenha-se alerta, ser consciente e não se tornar uma vítima.