News

La botnet Kelihos propaga el troyano Troldesh

La botnet Kelihos ha existido por cerca de ocho años y ha sobrevivido por lo menos dos intentos de cierre, en 2011 y 2012.

Durante su existencia sirvió para varios propósitos, que van desde el envío de spam amoroso a la propagación de troyanos extorsionadores como MarsJoke y Wildfire. Desde agosto, los atacantes utilizan la botnet para difundir codificadores y troyanos bancarios, y en determinado momento el tamaño de Kelihos se triplicó en una sola noche. Después, comenzó a distribuir malware como Panda Zeus Nymain y Kronos, pero pronto volvió al acostumbrado software extorsionador.

Actualmente, los investigadores observan que Kelihos está distribuyendo spam malicioso que contiene el cifrador Troldesh. La víctima debe hacer clic en un enlace malicioso a un documento Word y un JavaScript malicioso. Este es el primer caso de infección mediante un archivo JS en esta botnet.

La particular ironía es que el malware cifra los archivos agregándoles la extensión. no_more_ransom, nombre similar a una conocida iniciativa emprendida para luchar contra el software extorsionador. Este último ya ha ayudado a miles de usuarios a descifrar sus archivos sin pagar rescate.

Troldesh se propaga en las direcciones de la zona .au, es decir, la campaña está dirigida a los habitantes de Australia. Los mensajes de spam mensajes, que deben engañar al usuario para que descargue el troyano extorsionador, están camuflados como mensajes del Bank of America sobre una supuesta deuda y proponen abrir un archivo que describe los pasos para “resolver la situación”.

Una vez que el usuario descarga el troyano extorsionador, éste cifra sus archivos y muestra un mensaje pidiendo un rescate (en ruso e inglés). Los atacantes usan una dirección de correo de Gmail. También en las instrucciones explican cómo descargar el navegador Tor e ir a sitios .onion.

Además, Troldesh es capaz de descargar otro malware en el equipo infectado, por ejemplo, el programa malicioso Pony, que sirve para robar información.

Fuentes: Threatpost

La botnet Kelihos propaga el troyano Troldesh

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada