Menú de contenidos Cerrar

Noticias

La botnet Kelihos propaga el troyano Troldesh

Noticias

lectura de un minuto

Autores

La botnet Kelihos ha existido por cerca de ocho años y ha sobrevivido por lo menos dos intentos de cierre, en 2011 y 2012.

Durante su existencia sirvió para varios propósitos, que van desde el envío de spam amoroso a la propagación de troyanos extorsionadores como MarsJoke y Wildfire. Desde agosto, los atacantes utilizan la botnet para difundir codificadores y troyanos bancarios, y en determinado momento el tamaño de Kelihos se triplicó en una sola noche. Después, comenzó a distribuir malware como Panda Zeus Nymain y Kronos, pero pronto volvió al acostumbrado software extorsionador.

Actualmente, los investigadores observan que Kelihos está distribuyendo spam malicioso que contiene el cifrador Troldesh. La víctima debe hacer clic en un enlace malicioso a un documento Word y un JavaScript malicioso. Este es el primer caso de infección mediante un archivo JS en esta botnet.

La particular ironía es que el malware cifra los archivos agregándoles la extensión. no_more_ransom, nombre similar a una conocida iniciativa emprendida para luchar contra el software extorsionador. Este último ya ha ayudado a miles de usuarios a descifrar sus archivos sin pagar rescate.

Troldesh se propaga en las direcciones de la zona .au, es decir, la campaña está dirigida a los habitantes de Australia. Los mensajes de spam mensajes, que deben engañar al usuario para que descargue el troyano extorsionador, están camuflados como mensajes del Bank of America sobre una supuesta deuda y proponen abrir un archivo que describe los pasos para “resolver la situación”.

Una vez que el usuario descarga el troyano extorsionador, éste cifra sus archivos y muestra un mensaje pidiendo un rescate (en ruso e inglés). Los atacantes usan una dirección de correo de Gmail. También en las instrucciones explican cómo descargar el navegador Tor e ir a sitios .onion.

Además, Troldesh es capaz de descargar otro malware en el equipo infectado, por ejemplo, el programa malicioso Pony, que sirve para robar información.

Fuentes: Threatpost

Autores

La botnet Kelihos propaga el troyano Troldesh

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

De los mismos autores

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada

En la misma categoría

    • Últimas publicaciones
    Informes

    BlindEagle vuela alto en LATAM

    Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

    MosaicRegressor: acechando en las sombras de UEFI

    Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada

    Amenazas

    Amenazas

    Categorías

    Categorías

    Otros sitios

    © 2024 AO Kaspersky Lab. Todos los derechos reservados.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada