Saltar al contenido principal

Troyano espía Xtrat atacando Colombia

19 de diciembre de 2013

Diciembre es el mes de cierre del año contable para todas las empresas y por esto cada factura cuenta. Pues todos necesitan enviar su factura a tiempo y así recibir el pago antes de que termine el año. Los criminales cibernéticos lo saben también y por esto han lanzado una campaña de malware que infecta principalmente a los usuarios de Colombia.

Diciembre es el mes de cierre del año contable para todas las empresas y por esto cada factura cuenta. Pues todos necesitan enviar su factura a tiempo y así recibir el pago antes de que termine el año. Los criminales cibernéticos lo saben también y por esto han lanzado una campaña de malware que infecta principalmente a los usuarios de Colombia.

Trojan.Win32.Xtrat

Este es el nombre de la familia de malware que llega por el correo electrónico disfrazado de una supuesta factura. El nombre del archivo adjunto es “Soporte  y facturas Acordadas mes de Diciembre 11 2013.exe” que viene inicialmente empaquetado en un archivo .zip

malware 

Nuestras estadísticas muestran que la mayor cantidad de víctimas reside en Colombia.

 Geo

Pero ¿por qué Colombia es el país más atacado y cuál es el principal objetivo de este troyano? Veamos juntos las respuestas a estas preguntas.

¿Qué hace Trojan.Win32.Xtrat?

Principalmente es un troyano espía diseñado a robar la información confidencial de las víctimas. Esto incluye los nombres de usuarios, las contraseñas y todo lo que uno escriba en su teclado. Este funciona como un keylogger y un backdoor que permite al atacante a robar los datos de la víctima y a tener el acceso remoto no autorizado a la máquina de la víctima.

Una vez que el troyano compromete el sistema, guarda su copia en la carpeta \InstallDir dentro de la carpeta Windows del sistema. Tiene una funcionalidad de DDoS interno para impedir su análisis por medio de los sistemas Sandbox.

Además al ser ejecutado usa la técnica de inyección para “ocultarse” dentro de un proceso legítimo del sistema. El troyano maneja varias ofuscaciones tanto a nivel del código como las instrucciones que recibe desde el C2 (Centro de comando y control).

El troyano está basado en el software llamado Cybergate que es conocido por sus prestaciones de administración remota, cifrado de las comunicaciones y otras funcionalidades que le permiten tener un control total del equipo donde esté instalado este software.

cybergate 

¿Por qué Colombia es el país más atacado?

El C2 del troyano se encuentra detrás de un servicio gratuito de los DNS dinámicos y apunta a un rango de direcciones IP dinámicas de Colombia, en particular de la ciudad de Medellín.

IP 

En las últimas 48 horas, la IP del C2 ha cambiado pero se mantiene dentro del mismo ISP. Los criminales pueden mover el centro de comando y control a diferentes máquinas sin perder el control sobre las máquinas infectadas. Todo lo que tienen que hacer es actualizar el registro de la nueva dirección IP en la cuenta registrada con no-ip.biz

 

Me puedes seguir en twitter: @dimitribest

 

 

Troyano espía Xtrat atacando Colombia

Diciembre es el mes de cierre del año contable para todas las empresas y por esto cada factura cuenta. Pues todos necesitan enviar su factura a tiempo y así recibir el pago antes de que termine el año. Los criminales cibernéticos lo saben también y por esto han lanzado una campaña de malware que infecta principalmente a los usuarios de Colombia.
Kaspersky logo

Acerca de Kaspersky

Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compañía incluye una protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados, así como soluciones de ciber inmunidad para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 200,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en latam.kaspersky.com.

Artículo relacionado Comunicados de prensa