El troyano bancario CoreBot vuelve a atacar

Publicada en

Una nueva variante del troyano bancario, CoreBot, muy activa durante el verano de 2015, ha sido detectada por investigadores de seguridad en los últimos meses. La nueva variante, que se propaga a través de documentos maliciosos de Office, puede utilizarse contra cualquier objetivo pero, como ya ocurriera en 2015, CoreBot vuelve a centrarse en los sectores bancario y financiero, un grupo de víctimas particularmente lucrativo. El ataque utiliza un modo de operación que algunos expertos comparan al de un terremoto. Y es que, una vez que el ataque se ha producido, generalmente se pueden esperar réplicas.

Este es el caso de Corebot que se utiliza principalmente como un ladrón de contraseñas. Apareció en 2015, es muy modular y, por lo tanto, es fácil de reutilizar y adaptar para nuevas campañas de ataque, como la que analizamos hoy.

Por lo general, utiliza secuencias de comandos / macros de VBA y comandos de PowerShell (integrados en un documento de Office, por ejemplo) para que sea más difícil o imposible de detectar o bloquear con un antivirus tradicional.

Corebot se convierte así en una muestra más de cómo los ciberdelincuentes reutilizan cada vez más código antiguo para perpretar nuevos ataques. Si ya ha funcionado bien antes, ¿por qué no utilizarlo de nuevo? Deben pensar… Además, si tenemos en cuenta que es mucho más simple y más barato reutilizar un antiguo malware que desarrollar un nuevo ataque desde cero, la práctica es fácilmente comprensible. Así, las empresas de seguridad detectan cientos de miles de malware “nuevos” todos los días. Pero a menudo estas novedades son solo variantes de versiones anteriores.

Un ataque viejo ¿efectivo de nuevo?

Para hacer que un ataque antiguo como CoreBot vuelva a ser efectivo es suficiente hacer cambios en los indicadores clave de compromiso de forma que su firma sea diferente. Así mismo, para mejorar su capacidad de evasión de las herramientas de detección y cambiar su estructura de comando y control, se realizan cambios en el código. Todo esto requiere trabajo, pero difícilmente comparable al que habría que hacer para desarrollar un ataque completamente nuevo desde cero.

 Así, la semana pasada os contábamos que aunque las herramientas maliciosas asociadas a Cutlet Maker llevan tiempo en circulación, los últimos descubrimientos revelan que los creadores de malware están invirtiendo cantidad de recursos en hacer que sus “productos” puedan estar al alcance de otros criminales menos familiarizados con la informática.

La entrada El troyano bancario CoreBot vuelve a atacar aparece primero en Globb Security.

Source: Noticias Tecnológicas
El troyano bancario CoreBot vuelve a atacar

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *