Según Kaspersky Lab, una familia de troyanos existente desde hace mucho tiempo que todavía funciona hoy, ha generado nuevas muestras maliciosas de malware, que infecta a sus víctimas con un ransomware o con un criptominero.

Distribuidos a través de correos electrónicos no deseados con documentos adjuntos, las muestras están relacionadas con la familia Trojan-Ransom.Win32.Rakhni. “Después de abrir el archivo adjunto de correo electrónico, se solicita a la víctima que guarde el documento y habilite la edición. Se espera que la víctima haga doble clic en el archivo PDF incrustado. Pero en lugar de abrir un PDF, la víctima lanza un ejecutable malicioso”, escribieron los investigadores.

El troyano analiza los archivos de la pc infectada y luego decide qué carga útil debe descargarse en la PC de la víctima en el momento en que se lanza el ejecutable malicioso. “El hecho de que el malware pueda decidir qué carga útil utiliza para infectar a la víctima brinda otro ejemplo más de las tácticas oportunistas utilizadas por los ciberdelincuentes”, dijo Orkhan Mamedov, analista de malware de Kaspersky Lab.

“Siempre intentarán beneficiarse de sus víctimas: pidiendo un pago monetario por el secuestro de la información (ransomware), mediante el uso no autorizado de los recursos del usuario para sus propias necesidades (criptominero), o explotando a la víctima en la cadena de distribución de malware (net-worm).”

Desde su descubrimiento en 2013, los creadores de malware han cambiado la forma en que sus troyanos obtienen las claves. Donde alguna vez se generaron localmente, ahora se reciben del comando y control (C&C). También han alterado los algoritmos utilizados, pasando de usar exclusivamente un algoritmo simétrico y evolucionar a través de un esquema comúnmente utilizado de simétrico y asimétrico.

Los analistas descubrieron recientemente 18 algoritmos simétricos utilizados simultáneamente. Las criptobibliotecas también son diferentes, al igual que el método de distribución, que ha variado desde spam hasta ejecución remota. En las muestras recientemente detectadas, los delincuentes agregaron una nueva función de capacidad de extracción.

Según los investigadores, el malware se dirige principalmente a las empresas en lugar de a los usuarios normales, y se propaga principalmente por toda Rusia. La Federación de Rusia ha sido atacada con mayor frecuencia por Trojan-Downloader.Win32.Rakhni, con más del 95% de las víctimas únicas. Kazajstán, Ucrania, Alemania e India son los cuatro de los cinco principales países atacados, cada uno de los cuales tiene menos del 2% de usuarios únicos atacados en relación con todos los usuarios atacados por este malware.

También puedes leer: El malware para minería de criptomonedas está en aumento, y está llegando a las redes corporativas

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *