Global Preloader
Noticia Internacional
(08/Mar/2018) Troyano bancario Gozi utiliza botnet "Dark Cloud"

Troyano bancario Gozi utiliza botnet "Dark Cloud"

El conocido troyano bancario Gozi ISFB recientemente comenzó a usar la elusiva botnet "Dark Cloud" para su distribución, advierte Talos.

Gozi ha existido durante varios años y su código fuente se ha filtrado en línea en dos ocasiones en los últimos años, lo que llevó al desarrollo de un nuevo troyano en 2016, GozNym. El malware siguió activo e incluso adoptó nuevas técnicas en campañas recientes, como el uso de la infraestructura Dark Cloud.

Las campañas que Talos ha observado en los últimos meses son organizaciones de objetivo específico, de volumen relativamente bajo, y revelan un esfuerzo significativo en la creación de correos electrónicos convincentes. La distribución y la infraestructura de comando y control (C & C) no solo están activas durante periodos cortos de tiempo, sino que los actores detrás de ellas también se mueven rápidamente a nuevos dominios y direcciones IP, incluso para correos electrónicos individuales enviados como parte de la misma campaña.

Los correos electrónicos no deseados llevan documentos de Microsoft Word como archivos adjuntos. Cuando se abren, los archivos muestran una imagen señuelo que afirma que el documento se creó con Office 365 y que el usuario debe "Habilitar edición" y luego "Habilitar contenido" para verlo. Si la víctima realiza el seguimiento, las macros incrustadas se ejecutan para descargar y ejecutar el malware.

La macro de VBA generalmente se ejecuta cuando el documento está cerrado, en un intento de evitar la detección de sandbox. La macro descarga un archivo HTA de un servidor remoto, que se ejecuta sin alertar al usuario. El proceso de infección continúa con la ejecución de un script de JavaScript ofuscado para ejecutar un script de PowerShell para descargar y ejecutar la carga útil en la máquina de la víctima.

El cargador de malware utilizado en estos ataques usa la anti-virtualización y lleva dos versiones de la misma DLL, cada una de las cuales apunta a una arquitectura diferente. Dependiendo de la máquina de la víctima, el cargador inyecta la DLL de 32 bits o de 64 bits en el proceso explorer.exe.

El botnet usa técnicas de flujo rápido para dificultar el seguimiento de su infraestructura de back-end. "Al cambiar frecuentemente los registros DNS asociados con los dominios maliciosos, los atacantes pueden utilizar una amplia red de proxies, cambiando continuamente la dirección de la IP que se utiliza para manejar las comunicaciones a los servidores web que controla el atacante", explica Talos.

Al observar los dominios y direcciones IP asociados con la infraestructura, los investigadores descubrieron que estaba sirviendo una variedad de actividades de ciberdelincuencia, incluidos los foros de cardado, entrega y control de malware y correo no deseado.

Talos también descubrió que los atacantes no están utilizando servidores proxy y servidores en Europa occidental, Europa central y América del Norte, sino principalmente en los ubicados en Europa del Este, Asia y Medio Oriente.