-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Nueva campaña de Malspam busca infectar a los usuarios con Nanocore y LokiBot.
- Publicado: 26/06/2019
- Importancia: Media
- Recursos afectados
La campaña actual comenzó a distribuir correos con spam en abril de 2019. Estos correos se
hacían pasar por facturas y contenía el ya mencionado fichero ISO adjunto. La elección del tipo
de fichero ISO puede ser debido a que en muchas organizaciones este tipo de fichero se
encuentra en listas blancas dentro de los motores antimalware encargados de analizar el correo.
Para el análisis del siguiente escenario de amenazas detectado, es necesario realizar una
contextualización sobre los malware de LokiBot y NanoCore.Inicialmente LokiBot y NanoCore son troyanos que permiten robar información y ejecutarse a
partir de documentos anexos con extensiones variadas. Por ejemplo: .xls, .ISO, .JPG, etc. Dentro
de sus arquitecturas y taxonomías, se contempla el robo de datos o credenciales de acceso de
los navegadores web, detectar herramientas administrativas de conexión remota Secure Shell
(SSH) o Remote Desktop Protocol (RDP) y en el caso de NanoCore al ser un troyano modular
permite al atacante agregar nuevas variantes de malware a la maquina afectada. Por ejemplo:
Ransomware, Keyloggers, etc.
- Etiquetas