Hemos detectado un nuevo troyano desconocido que utiliza inyecciones en formato JSON. Después de ver tantos troyanos usando inyecciones tipo ZeuS, es interesante encontrarse algo así. Actualmente afecta a entidades polacas. El análisis preliminar de las inyecciones nos ha permitido ver que en ciertas entidades se incluye el código necesario para realizar transferencias automáticas (ATS).
La muestra tiene un chequeo que evita que pueda ser ejecutada a partir del 1 de abril de 2015. Esto no quiere decir que a partir de ese día desaparaezca la amenaza, es muy probable que el botmaster envíe una actualización del binario antes de esa fecha. El objetivo de la medida es, probablemente, el limitar la ventana de tiempo en la que las muestras pueden ser analizadas de forma automática en sandboxes.
Existen indicios de que el autor usó el código fuente de chromium para crear el troyano al cual hemos decidido bautizar como Slave.
Uno de los nombres con los que se ha distribuido el troyano es Faktura V_388_02_20_2015.doc.scr lo cual parece indicar que al menos una de las vías de distribución del malware con las campañas de spam.
En un futuro, y una vez hayamos analizado las inyecciones en detalle, actualizaremos el blog para mostrar cómo funciona el módulo ATS de las mismas.
Autor: S21sec Ecrime.
Comentarios
Publicar un comentario