Troyano Gozi se convierte en Dark Cloud Botnet

El ampliamente distribuido troyano bancario Gozi ISFB tiene un nuevo truco bajo la manga; ha estado haciendo uso de la evasiva botnet Dark Cloud para su distribuci√≥n en una serie de campa√Īas recientes. De acuerdo con los expertos en¬†seguridad de la informaci√≥n¬†de Cisco Talos, las campa√Īas comenzaron durante el cuarto trimestre de 2017 y continuaron en 2018, y cada semana se lanzan nuevas campa√Īas. Tienen un volumen relativamente bajo y est√°n dirigidos a organizaciones espec√≠ficas, y algunos de los correos est√°n incluso localizados.

Dark-Cloud

“Parece que no envían grandes cantidades de mensajes de correo no deseado a las organizaciones a las que se dirigen, sino que prefieren permanecer fuera del radar mientras se esfuerzan en la creación de correos electrónicos convincentes, en un intento de evadir la detección mientras maximizan la probabilidad de que la víctima abra los archivos adjuntos “, dijeron investigadores de seguridad de la información en un blog.

Los correos electr√≥nicos est√°n dise√Īados para parecer parte de un hilo de correo electr√≥nico existente, probablemente en un intento de convencer a la v√≠ctima de su legitimidad. Para hacer esto, los atacantes crean sujetos de correo electr√≥nico adicionales y cuerpos acompa√Īantes, incluidos como ‚Äúrespuestas‚ÄĚ con el correo electr√≥nico malicioso. De los m√°s de 100 documentos maliciosos de Word analizados a partir de la campa√Īa, la gran mayor√≠a de ellos son individualizados.

‚ÄúEsto no es algo que normalmente se ve en la mayor√≠a de las campa√Īas de correo electr√≥nico malicioso, y muestra el nivel de esfuerzo que los atacantes hacen para que los correos electr√≥nicos parezcan leg√≠timos para maximizar la probabilidad de que la v√≠ctima abra el archivo adjunto‚ÄĚ, dijeron los investigadores de¬†seguridad de la informaci√≥n.

El uso de la infraestructura Dark Cloud permite a los atacantes moverse r√°pidamente a nuevos dominios y direcciones IP, no solo para cada campa√Īa, sino tambi√©n para los correos electr√≥nicos individuales que forman parte de la misma campa√Īa. El uso de estas t√©cnicas llamadas de fast-flux significa que los atacantes pueden hacer uso de una amplia red de proxies, cambiando continuamente la direcci√≥n de la IP que se utiliza para manejar las comunicaciones a los servidores web que controla el atacante. En general, Talos observ√≥ que el valor del tiempo de vida (TTL) para los registros DNS asociados con los dominios utilizados en estas campa√Īas de malware generalmente se establece en 150, lo que permite a los atacantes emitir actualizaciones de registros DNS cada tres minutos.

En términos de distribución geográfica, los profesionales de la seguridad de la información descubrieron que los atacantes parecen estar evitando activamente el uso de servidores proxy y servidores ubicados en Europa occidental, Europa central y América del Norte; la mayoría de los sistemas analizados se ubicaron en Europa del Este, Asia y Medio Oriente.

Adem√°s, Gozi no es el √ļnico que busca Dark Cloud para su distribuci√≥n. ‚ÄúIdentificamos una cantidad significativa de actividad maliciosa haciendo uso de esta misma infraestructura, incluida la distribuci√≥n Gozi ISFB, comando y control Nymaim, y una variedad de diferentes campa√Īas de spam y actividad de estafa‚ÄĚ, dijeron los investigadores de¬†seguridad de la informaci√≥n.