La botnet Kelihos propaga el troyano Troldesh

La botnet Kelihos ha existido por cerca de ocho años y ha sobrevivido por lo menos dos intentos de cierre, en 2011 y 2012.

Durante su existencia sirvió para varios propósitos, que van desde el envío de spam amoroso a la propagación de troyanos extorsionadores como MarsJoke y Wildfire. Desde agosto, los atacantes utilizan la botnet para difundir codificadores y troyanos bancarios, y en determinado momento el tamaño de Kelihos se triplicó en una sola noche. Después, comenzó a distribuir malware como Panda Zeus Nymain y Kronos, pero pronto volvió al acostumbrado software extorsionador.

Actualmente, los investigadores observan que Kelihos está distribuyendo spam malicioso que contiene el cifrador Troldesh. La víctima debe hacer clic en un enlace malicioso a un documento Word y un JavaScript malicioso. Este es el primer caso de infección mediante un archivo JS en esta botnet.

La particular ironía es que el malware cifra los archivos agregándoles la extensión. no_more_ransom, nombre similar a una conocida iniciativa emprendida para luchar contra el software extorsionador. Este último ya ha ayudado a miles de usuarios a descifrar sus archivos sin pagar rescate.

Troldesh se propaga en las direcciones de la zona .au, es decir, la campaña está dirigida a los habitantes de Australia. Los mensajes de spam mensajes, que deben engañar al usuario para que descargue el troyano extorsionador, están camuflados como mensajes del Bank of America sobre una supuesta deuda y proponen abrir un archivo que describe los pasos para “resolver la situación”.

Una vez que el usuario descarga el troyano extorsionador, éste cifra sus archivos y muestra un mensaje pidiendo un rescate (en ruso e inglés). Los atacantes usan una dirección de correo de Gmail. También en las instrucciones explican cómo descargar el navegador Tor e ir a sitios .onion.

Además, Troldesh es capaz de descargar otro malware en el equipo infectado, por ejemplo, el programa malicioso Pony, que sirve para robar información.

Fuentes: Threatpost

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *