El Laboratorio de Investigación de ESET Latinoamérica detectó a finales del año pasado una serie de archivos maliciosos que se han estado propagando por países de Centroamérica y por México
Desde finales de septiembre del 2015 varias muestras de códigos maliciosos de la familia RAR/Agent afectaron a varios a usuarios de esta zona; de hecho, la última de estas variantes se propagó entre usuarios de Guatemala la semana pasada.
Todas las muestras tienen una extensión scr (Windows Screen Saver) y todas utilizan algún ícono relacionado con Acrobat PDF Reader tales como estos:
Al ser analizado más profundamente por los laboratorios de ESET todas estas variantes tienen un módulo que cumple la función de keylogger, crean archivos con la extensión .EXE en la computadora del usuario, se instalan a sí mismos para iniciarse con el sistema y generar bastante tráfico de red. Y todos fueron compilados con scripts en Autoit.
Una de las características comunes a la mayoría de los códigos maliciosos es la capacidad que tienen para persistir en un sistema, y las muestras analizadas no son la excepción. De hecho tienen todas las mismas dos funciones para modificar los registros de Windows e iniciarse con cada nuevo arranque del sistema.
Dentro de las funciones maliciosas más relevantes se conoció que están diseñados para robar la información relacionada con Facebook. Tal como se puede ver en la siguiente imagen, el código malicioso cuenta con una función que va copiando todo al portapapeles. De esta manera, el atacante logra recopilar información privada del usuario:
Además el atacante también obtiene información sensible acerca del sistema operativo utilizado por el usuario y los perfiles creados en la máquina. De esta manera se hace con bastante información que le puede ser útil para obtener algún tipo de ganancia económica o incluso llevar adelante otro tipo de ataques.
Fuente: Eset Latinoamérica