El troyano Geodo: ¿Cridex con nuevas funcionalidades?

Recientemente la empresa Seculert, dedicada a la seguridad informática, ha revelado nueva actividad maliciosa relacionada a Cridex. Este código malicioso, también conocido como Feodo y Bugat, se caracteriza por sus capacidades para robar información.

Su nueva versión combina infección y auto propagación, para infectar nuevos equipos dentro de la red de la víctima.

Del análisis hecho por Seculert se pudieron sacar algunas conclusiones:

  1. El malware descarga otra aplicación maliciosa
  2. La nueva app maliciosa se comunica con un centro de control (C&C)
  3. Este malware descargado también envía un correo electrónico con un enlace para descargar un archivo ZIP que contiene Geodo

Las firmas de detección de los productos ESET son: Cridex (Win32/Cridex), Feodo (Win32/injector.DIL) y Geodo con detección por heurística Win32/Kryptik.CEPA, que se asemeja a una variante de Win32/Emotet_AA.

En un análisis más profundo, la compañía fue capaz de determinar que la segunda aplicación maliciosa, el troyano Geodo, está provista de unas 50 mil credenciales de cuentas SMTP robadas, incluyendo los servidores SMTP relacionados para conectarse. SMTP (Protocolo para la transferencia simple de correo electrónico) es un protocolo utilizado generalmente para enviar correos electrónicos.

Este bot centra su búsqueda de credenciales en cuentas de Alemania principalmente, mediante el robo de identidad suplantando el correo legítimo.

Según menciona la investigación, en Alemania se han detectado el 46% de las infecciones, mientras que el 25% lo ocupan otros países. Desde el Laboratorio de Investigación de ESET Latinoamérica pudimos observar algunas detecciones en Brasil.

El C&C (Centro de Control) le proporciona al malware 20 direcciones de correo electrónico. También le da a cada dirección asunto y cuerpo de mensaje personalizados. Una vez ejecutado el código malicioso desde uno de estos correos enviados, esta nueva infección será provista de 20 nuevas direcciones de correo desde el C&C adaptando nuevamente el asunto y cuerpo de mensaje.

Los correos electrónicos que Seculert ha podido observar hasta el momento incitan al usuario a descargar un archivo comprimido ZIP, que contiene un archivo ejecutable disfrazado como PDF. Dentro de este supuesto PDF se encuentra Geodo, listo para infectar a su víctima y comenzar el proceso de infección nuevamente.

En la siguiente imagen se muestra el correo electrónico que recibe el usuario:geodo_emailLa traducción del mensaje es la siguiente:

Usted ha realizado un pago por 1314.53 € a Margita Haberova.

Nosotros hemos notificado al banco que el artículo ya puede ser enviado. Para más información sobre este pago: 2014_06_16informationen_zum_transaktions_pdf_#515-B945.zip (el texto significa “información sobre las transacciones”).

Hasta el momento, no hay información definitiva en relación a desde dónde provienen las 50 mil credenciales robadas, pero según los investigadores mencionados, el presunto culpable podría ser Cridex. Este tipo de aplicaciones maliciosas puede poner la integridad y propiedad intelectual de un usuario en peligro.

Esta característica que incorpora Geodo para enviar correos electrónicos es un claro ejemplo del avance en códigos maliciosos y técnicas de Ingeniería Social. Es por eso que los usuarios necesitan estar siempre informados y en conocimiento sobre las últimas amenazas que podrían afectarlos, para poder prevenirlas.

Créditos imagen: ©CJ Isherwood/Flickr
 

Autor , ESET

Síguenos