Diciembre es el mes de cierre del año contable para todas las empresas y por esto cada factura cuenta. Pues todos necesitan enviar su factura a tiempo y así recibir el pago antes de que termine el año. Los criminales cibernéticos lo saben también y por esto han lanzado una campaña de malware que infecta principalmente a los usuarios de Colombia.
Diciembre es el mes de cierre del año contable para todas las empresas y por esto cada factura cuenta. Pues todos necesitan enviar su factura a tiempo y así recibir el pago antes de que termine el año. Los criminales cibernéticos lo saben también y por esto han lanzado una campaña de malware que infecta principalmente a los usuarios de Colombia.
Trojan.Win32.Xtrat
Este es el nombre de la familia de malware que llega por el correo electrónico disfrazado de una supuesta factura. El nombre del archivo adjunto es “Soporte y facturas Acordadas mes de Diciembre 11 2013.exe” que viene inicialmente empaquetado en un archivo .zip
Nuestras estadísticas muestran que la mayor cantidad de víctimas reside en Colombia.
Pero ¿por qué Colombia es el país más atacado y cuál es el principal objetivo de este troyano? Veamos juntos las respuestas a estas preguntas.
¿Qué hace Trojan.Win32.Xtrat?
Principalmente es un troyano espía diseñado a robar la información confidencial de las víctimas. Esto incluye los nombres de usuarios, las contraseñas y todo lo que uno escriba en su teclado. Este funciona como un keylogger y un backdoor que permite al atacante a robar los datos de la víctima y a tener el acceso remoto no autorizado a la máquina de la víctima.
Una vez que el troyano compromete el sistema, guarda su copia en la carpeta \InstallDir dentro de la carpeta Windows del sistema. Tiene una funcionalidad de DDoS interno para impedir su análisis por medio de los sistemas Sandbox.
Además al ser ejecutado usa la técnica de inyección para “ocultarse” dentro de un proceso legítimo del sistema. El troyano maneja varias ofuscaciones tanto a nivel del código como las instrucciones que recibe desde el C2 (Centro de comando y control).
El troyano está basado en el software llamado Cybergate que es conocido por sus prestaciones de administración remota, cifrado de las comunicaciones y otras funcionalidades que le permiten tener un control total del equipo donde esté instalado este software.
¿Por qué Colombia es el país más atacado?
El C2 del troyano se encuentra detrás de un servicio gratuito de los DNS dinámicos y apunta a un rango de direcciones IP dinámicas de Colombia, en particular de la ciudad de Medellín.
En las últimas 48 horas, la IP del C2 ha cambiado pero se mantiene dentro del mismo ISP. Los criminales pueden mover el centro de comando y control a diferentes máquinas sin perder el control sobre las máquinas infectadas. Todo lo que tienen que hacer es actualizar el registro de la nueva dirección IP en la cuenta registrada con no-ip.biz
Me puedes seguir en twitter: @dimitribest