Troyano bancario Gozi utiliza la botnet Dark Cloud para dispersarse

07/03/2018

El bien conocido y ampliamente distribuido troyano bancario Gozi ISFB cuenta con un nuevo as bajo la manga, ha estado haciendo uso de la elusiva botnet Dark Cloud para distribuirse en una serie de campañas recientes.

De acuerdo con la inteligencia de Cisco Talos, las campañas comenzaron durante el cuarto trimestre del 2017 y continuaron en 2018, con nuevas campañas lanzadas cada semana. Estas cuentan con un volumen relativamente bajo y están dirigidas a organizaciones específicas y algunos de los correos incluso están localizados.

"Parece que no envían grandes cantidades de mensajes de correo no deseado a las organizaciones a las que se dirigen, sino que prefieren permanecer fuera del radar mientras se esfuerzan en la creación de correos electrónicos convincentes, en un intento de evadir la detección mientras maximizan la probabilidad de que la víctima abra los archivos adjuntos", dijeron los investigadores en su blog.

Los correos electrónicos están diseñados para parecer parte de un hilo de correo electrónico existente, probablemente en un intento de convencer a la víctima de su legitimidad. Para hacer esto, los atacantes crean asuntos de correo electrónico adicionales junto con su respectivo contenido, incluyendo las "respuestas" con el correo electrónico malicioso. De los más de 100 documentos maliciosos de Word analizados a partir de la campaña, la gran mayoría de ellos son individualizados.

"Esto no es algo que se vea normalmente en la mayoría de las campañas de correo electrónico malicioso y muestra el nivel de esfuerzo que los atacantes hacen con los correos electrónicos para que pasen como legítimos y así maximizar la probabilidad de que la víctima abra el archivo adjunto", dijeron los investigadores.

Curiosamente, el uso de la infraestructura de Dark Cloud permite a los atacantes moverse rápidamente a nuevos dominios y direcciones IP, no solo para cada campaña, sino también para los correos electrónicos individuales que forman parte de la misma campaña. El uso prominente de esta técnica llamada de fast-flux permite que los atacantes puedan hacer uso de una amplia red de proxies, cambiando continuamente la dirección de la IP que se utiliza para manejar las comunicaciones a los servidores web que controla el atacante. En general, Talos observó que el valor del tiempo de vida (TTL) para los registros DNS asociados a los dominios utilizados en estas campañas de malware generalmente se establece en 150, lo que permite a los atacantes emitir actualizaciones de registros DNS cada tres minutos.

En términos de distribución geográfica, Talos descubrió que los atacantes parecen estar evitando activamente el uso de proxies y servidores ubicados en Europa occidental, Europa central y América del Norte; la mayoría de los sistemas analizados se ubicaron en Europa del Este, Asia y Medio Oriente.

Además, Gozi no es el único que busca la Dark Cloud para su distribución.

"Identificamos una cantidad significativa de actividad maliciosa utilizando esta misma infraestructura, incluida la distribución de Gozi ISFB, C&C Nymaim y una variedad de diferentes campañas de spam y actividad de estafa", dijeron los investigadores.

Artículos relacionados: