1 2 3 4 5 6

Geodo una variante de Cridex parte troyano y parte gusano de correo

Threatpost 02-Jul-2014

Ha salido a la superficie una imitación del troyano bancario Cridex que, al parecer, busca más que credenciales bancarias.

Seculert confirmó que el malware Geodo, nombrado así en referencia a los alias Feodo y Bugat de Cridex, incluye una eficiente función de autoreplicación y de transmisión de credenciales SMTP robadas de computadoras comprometidas de la botnet Cridex. Geodo es un troyano clásico que roba cualquier tipo de datos, desde la información del sistema hasta credenciales de correo electrónico, bitácoras bancarias de inicios de sesión y mucho más. 

Confinado principalmente a objetivos de Europa occidental (Alemania en particular) Geodo tiene una nueva característica que llama la atención, puede convertir cualquier bot controlado por los intrusos en un vehículo para infectar a nuevos objetivos, dijo Aviv Raff, jefe de seguridad de Seculert. 

Una vez que un bot se ve comprometido por Geodo, el malware descarga un gusano de correo electrónico que abre una puerta trasera hacia un Command and Control (C&C), éste envía al bot una lista de 50 mil credenciales de cuentas robadas de SMTP, los datos son usados para enviar correo electrónico basura (spam) enviando 20 correos por vez. Una vez que las credenciales han sido enviadas, se componen los mensajes de correo electrónico con una dirección de remitente elegida (campo para) y con el asunto del correo y el contenido del cuerpo enfocados en una campaña determinada, dijo Raff.

Cada hora se envía un nuevo lote de 20 mensajes de correo electrónico, adjuntando nuevas direcciones de remitentes, nuevos asuntos y textos para el cuerpo. Después el ciclo comienza de nuevo. 

"Por lo general, [los criminales] usan otros servicios para propagarse. Descubrimos que la botnet Cutwail añade el spam como parte de lo que hace", dijo Raff. "Nunca hemos visto a alguien usar sus propios desarrollos como parte de la propagación, definitivamente no con esta cantidad de credenciales robadas de SMTP. Vemos que el número de credenciales robadas está en crecimiento y creemos que se debe a que esas credenciales provienen de la propia botnet". 

Geodo tiene como objetivos a víctimas de Alemania, Austria, Hungría y Estados Unidos principalmente, dijo Raff. Los correos electrónicos son de naturaleza similar, notifican a alguien de una factura, del envío o de la solicitud de un pago. También incluyen un enlace para descargar un archivo zip que contiene el código malicioso disfrazado como un archivo PDF. Geodo tiene un alcance más amplio que el malware bancario tradicional, absorbiendo toda la información que puede. 

"En lugar de concentrarse en un único sector o empresa en particular, parecen utilizar una especie de infección masiva oportunista y tratan de reunir tanta información como sea posible para que puedan ver dentro de los datos robados e identificar determinadas compañías o vender [la información] a alguien que le interese", dijo Raff. "Es una actividad criminal que parece robar todo". 

Fuente: Threatpost PC

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT