Múltiples campañas de malspam distribuyen malware bancario GootKit

29 Abril 2019
Alto

Investigadores de Cisco Talos descubren múltiples campañas de malspam dirigidas a países europeo, que usan correos electrónicos para distribuir el troyano bancario GootKit -también conocido como Talapex o Xswkit-, que infecta a través de un cargador de malware llamado JasperLoader, en varias etapas. Lo peligroso es que usan servicios de correo con certificados legítimos. Muchas de las campañas incluyen archivos .zip que a su vez, contienen documentos JS y XML y PDF.

JasperLoader permite a los ciberdelincuentes actualizar el loader, ejecutar código remoto (RCE) basado en Powershell y finalmente descargar el malware Gootkit. Entre sus capacidades, genera persistencia al agregar un acceso directo de LNK a la carpeta de inicio del sistema infectado, para que éste se inicie cada vez que se reinicia el equipo. También genera un identificador de bot que se envía al servidor Command & Control (C2), lo que le permite incluir al computador en su red de bots.

Los loaders o cargadores de malware son muy populares para los ciberdelincuentes que quieren cargar varios payloads en los equipos de sus víctimas, ya que les permite obtener mayores ganancias al cambiar el malware insertado, a uno que realmente afecte al computador.

Anteriormente GootKit fue distribuido por DanaBot, el kit de exploit Neutrino y Emotet, actuando como backdoor, para robar información sensible y confidencial del usuario.

Se recomienda lo siguiente:

- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam: sus peligros y cómo actúa para engañar a sus víctimas e infectar sus equipos.

- Configurar de manera más estricta el anti spam.

- Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.

- Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.

- Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.

- Escanear los archivos adjuntos de un correo electrónico, utilizando el antivirus.

- Tener activado el UAC (control de cuentas de usuario) de Windows.


Tags: #malspam #gootkit #talapex #xswkit #jasperloader #js #xml #pdf #rce #powershell #danabot #neutrino #emotet


© 2023 Entel Digital
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.