Investigadores de Trend Micro han alertado sobre la propagación de un nuevo troyano que está siendo utilizado para robar documentos de Microsoft Word y Excel de ordenadores infectados y subirlos a SendSpace.com, un popular servicio de hosting gratuito que permite subir y compartir archivos con otros usuarios (similar al extinto Megaupload).
El intento de ataque comienza con un archivo de nombre «Fedex_Invoice.exe«, el cual es distribuido por medio de correos electrónicos que le hacen creer a los usuarios que tienen una notificación de envío de la paquetería FedeEx. Obviamente todo es falso, pero cuando la víctima descarga el supuesto archivo para obtener más detalles, se ejecuta el troyano TROJ_DOFOIL.GE, el cual a su vez descarga y ejecuta la amenaza de la que se hace alerta: TSPY_SPCESEND.A.
Según explica Trend Micro en su reporte, una vez que TSPY_SPCESEND.A ha logrado instalarse en el sistema de la víctima, se da a la tarea de analizar todo el disco duro local en busca de cualquier tipo de archivo perteneciente a Word y Excel, y una vez que los colecciona todos, estos son comprimidos en un archivo .ZIP y protegidos con una contraseña aleatoria, de manera que sólo el responsable del malware pueda tener acceso a los datos. Posteriormente, el archivo en cuestión es subido a SendSpace y, al terminar, el malware envía el link de descarga a un servidor remoto junto con la contraseña para poder descomprimirlo.
No sólo SendSpace está siendo aprovechado para almacenar información robada, pues no es el primer caso de software maligno que utiliza servidores gratuitos, y es de esperarse que sigan apareciendo más amenazas con técnicas similares. Por desgracia, los cibercriminales han comenzado a sacar provecho de este tipo de servicios legítimos para subir información robada, ahorrándoles el tener que configurar y mantener un servidor propio para este fin.