El troyano Zbot o Zeus existe desde el año 2007, y sus variantes continúan realizando ataques de hombre en medio (MitM, por sus siglas en inglés) que registran lo ingresado de las pulsaciones de teclado y capturan información que se ingresa en formularios en línea.

Por lo general el exploit se propaga por descargas, phishing, y redes sociales, pero investigadores de Tren Micro descubrieron recientemente una variante que emplea otro vector de propagación que son los dispositivos extraíbles.

En este caso particular, la variante del malware es entregado inicialmente en un PDF malicioso que está oculto como un documento de venta.

Las víctimas que intentan abrir el archivo con Adobe Reader se encuentran con una nota que indica que no puede abrir el archivo porque el uso de las funciones avanzadas ya no está disponible.

Pero, en segundo plano, el malware, de manera silenciosa, se guarda en el sistema y se ejecuta.

Primero, éste se contacta con el C&C (Command and Control) para descargar una copia actualizada de sí mismo; después, se comprueba si las unidades extraíbles están conectadas a la computadora, y si no, crea una copia de sí mismo en una carpeta oculta; finalmente, crea un acceso directo a la misma.