Troyano Gozi se convierte en Dark Cloud Botnet

Share this…

El ampliamente distribuido troyano bancario Gozi ISFB tiene un nuevo truco bajo la manga; ha estado haciendo uso de la evasiva botnet Dark Cloud para su distribución en una serie de campañas recientes. De acuerdo con los expertos en seguridad de la información de Cisco Talos, las campañas comenzaron durante el cuarto trimestre de 2017 y continuaron en 2018, y cada semana se lanzan nuevas campañas. Tienen un volumen relativamente bajo y están dirigidos a organizaciones específicas, y algunos de los correos están incluso localizados.

Dark-Cloud

“Parece que no envían grandes cantidades de mensajes de correo no deseado a las organizaciones a las que se dirigen, sino que prefieren permanecer fuera del radar mientras se esfuerzan en la creación de correos electrónicos convincentes, en un intento de evadir la detección mientras maximizan la probabilidad de que la víctima abra los archivos adjuntos “, dijeron investigadores de seguridad de la información en un blog.

Los correos electrónicos están diseñados para parecer parte de un hilo de correo electrónico existente, probablemente en un intento de convencer a la víctima de su legitimidad. Para hacer esto, los atacantes crean sujetos de correo electrónico adicionales y cuerpos acompañantes, incluidos como “respuestas” con el correo electrónico malicioso. De los más de 100 documentos maliciosos de Word analizados a partir de la campaña, la gran mayoría de ellos son individualizados.

“Esto no es algo que normalmente se ve en la mayoría de las campañas de correo electrónico malicioso, y muestra el nivel de esfuerzo que los atacantes hacen para que los correos electrónicos parezcan legítimos para maximizar la probabilidad de que la víctima abra el archivo adjunto”, dijeron los investigadores de seguridad de la información.

El uso de la infraestructura Dark Cloud permite a los atacantes moverse rápidamente a nuevos dominios y direcciones IP, no solo para cada campaña, sino también para los correos electrónicos individuales que forman parte de la misma campaña. El uso de estas técnicas llamadas de fast-flux significa que los atacantes pueden hacer uso de una amplia red de proxies, cambiando continuamente la dirección de la IP que se utiliza para manejar las comunicaciones a los servidores web que controla el atacante. En general, Talos observó que el valor del tiempo de vida (TTL) para los registros DNS asociados con los dominios utilizados en estas campañas de malware generalmente se establece en 150, lo que permite a los atacantes emitir actualizaciones de registros DNS cada tres minutos.

En términos de distribución geográfica, los profesionales de la seguridad de la información descubrieron que los atacantes parecen estar evitando activamente el uso de servidores proxy y servidores ubicados en Europa occidental, Europa central y América del Norte; la mayoría de los sistemas analizados se ubicaron en Europa del Este, Asia y Medio Oriente.

Además, Gozi no es el único que busca Dark Cloud para su distribución. “Identificamos una cantidad significativa de actividad maliciosa haciendo uso de esta misma infraestructura, incluida la distribución Gozi ISFB, comando y control Nymaim, y una variedad de diferentes campañas de spam y actividad de estafa”, dijeron los investigadores de seguridad de la información.