Nuevos indicadores de compromiso asociados a Gozi

• Publicado: 26/12/2019
• Importancia: Baja

---

Recursos afectados

El texto adjunto en los correos electrónicos induce a los usuarios a la posterior apertura de documentos [Word o Excel] con macros maliciosas para la descarga de una variante de Ursnif/Gozi permitiendo la conexión con un servidor C&C [Comando y Control] y posteriormente es agregado a una red botnet donde podrá recibir comandos remotos.

El objetivo principal es la captura de los datos financieros para realizar actividades relacionadas con el fraude transaccional o financiero. La única variación de Ursnif respecto a Gozi es su método de infección, ya que el troyano Gozi es proporcionado a los usuarios a través de URL maliciosas que inyectan código arbitrario a los equipos víctima por medio de vulnerabilidades del navegador web.

Este es un breve resumen por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected]

Etiquetas

• Gozi
• Malware
• Troyano
• Malspam