-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Nueva campaña de spam distribuye troyano bancario GootKit
- Publicado: 28/04/2019
- Importancia: Alta
- Recursos afectados
El cargador JasperLoader va dirigido principalmente a entidades financieras de
Europa, con un enfoque dirigido a Italia y Alemania. Emplea un proceso de
infección en varias etapas que presenta varias técnicas de ofuscación que
dificultan el análisis.
El cargador es distribuido en campañas de malspam a través de servicios de
correo electrónico certificados y legítimos como "Posta Elettronica Certificata",
lo que maximiza la credibilidad por parte del atacante. En estos correos
electrónicos se adjunta un fichero ZIP o DOCM, que son los portadores del
malware.
Una vez ejecutado JasperLoader, comprueba la geolocalización para evitar
atacar dispositivos localizados en Rusia, Ucránia, Bielorrusia o China. Si la
víctima no se encuentra en los lugares anteriormente mencionados, el malware
gana persistencia al agregar un acceso directo de LNK en la carpeta de inicio
del sistema infectado, para que se ejecute cada vez que se reinicie la máquina.
A continuación genera un identificador de bot que se envía al servidor de c&c,
lo que registra la máquina infectada en la red bots de los operadores, a la
espera de los comandos del servidor.
JasperLoader permite a los atacantes actualizar el cargador, ejecutar código
arbitrario basado en Powershell y, lo que es más importante, descargar el
malware Gootkit, encargado del robo de credenciales financieras.