Loda Trojan revitalizado con una actualización sigilosa, nuevas hazañas


Malware Metamorfo hará que vuelva a escribir sus credenciales para asaltar su cuenta bancaria
El troyano bancario Metamorfo ha expandido su campaña para apuntar a los servicios bancarios de los usuarios en línea.

Los investigadores han documentado la evolución de Loda, un troyano de acceso remoto (RAT) que está dejando sus raíces simples para convertirse en una amenaza establecida en los Estados Unidos y otros países.

Loda se observó por primera vez en 2016. Según Proofpoint, la RAT basada en AutoIT puede acceder y filtrar información del sistema y del usuario, actuar como un keylogger, tomar capturas de pantalla, iniciar y cerrar procesos y descargar cargas de malware adicionales a través de una conexión a un servidor de comando y control (C2) .

Se ha rastreado una nueva versión del troyano en los últimos meses, revelando un arsenal mejorado.

Considerado un "RAT simple pero efectivo que ha madurado con el tiempo", el malware ha sido detectado en campañas recientes dirigidas a víctimas en todo Estados Unidos, junto con América del Sur y Central, el investigador de ciberseguridad de Cisco Talos Chris Neal dijo el miércoles.

La última variante de Loda, la versión 1.1.1, ha renovado las técnicas de ofuscación para mejorar sus capacidades de sigilo y también están en juego nuevos mecanismos para mantener la persistencia en los sistemas después del apagado.

Si bien es similar a las versiones anteriores, la mayoría de las cadenas y variables de Loda ahora están codificadas y el malware puede realizar consultas WMI para detectar el software antivirus instalado. Otra nueva capacidad es la capacidad de leer el contenido de " filezilla recentservers.xml", un documento que contiene direcciones IP, nombres de usuario y contraseñas utilizadas por los servidores de Filezilla.

La ola de ataque activo, que se remonta hasta el último trimestre de 2019, envía la mayor parte de sus consultas del servidor C2 a 4success (.) Zapto (.) Org de Brasil, Costa Rica y los EE. UU. Otro dominio que se cree que está involucrado, success20 (.) Hopto (.) Org, está recibiendo consultas de Argentina, Brasil y Estados Unidos.

Estos dominios son clave en la cadena de infección de Loda ya que alojan documentos que finalmente sirven cargas maliciosas.

Ver también: Las empresas empresariales luchan por controlar los certificados de seguridad, las claves criptográficas

El ataque comienza con una técnica común, un correo electrónico de phishing, que contiene un documento malicioso de primera etapa como un archivo adjunto. Una muestra investigada por los investigadores, titulada "comprobante de confirmación de pago.docx", contiene una relación OOXML que apunta a un segundo documento, un archivo de formato de texto enriquecido (RTF) alojado en lcodigo (.) Com.

El archivo RTF contiene la etiqueta de autor "obidah qudah" que se ha conectado a cerca de 1.300 archivos RTF maliciosos cargados en VirusTotal desde 2017.

Para ocultar su naturaleza maliciosa, el archivo RTF contiene un exploit OLE con el exploit incrustado dentro, y se utiliza una técnica de palabra de control para dividir el objeto y evitar que los analizadores lean completamente el archivo.

CNET: IPVanish vs. ExpressVPN: seguridad, velocidad y precio comparados

Si se descarga, el segundo documento intentará explotar CVE-2017-11882, una vulnerabilidad de corrupción de memoria encontrada en Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1 y Microsoft Office 2016. La falla de seguridad crítica permite la ejecución de código arbitrario si se explota.

Los investigadores de Cofense han encontrado otras muestras que utilizan la misma vulnerabilidad de seguridad. Los correos electrónicos relacionados con seguros de vida, suscripciones y los "cambios" en las políticas de Amazon se han conectado a campañas anteriores.

TechRepublic: Seguridad informática en la nube: estas dos herramientas de Microsoft pueden ayudarlo a combatir TI en la sombra

Si un intento de infección tiene éxito, se entrega un archivo MSI malicioso a la víctima que contiene el troyano.

"Loda es simple pero ha demostrado ser efectivo y representa una seria amenaza para un huésped infectado", dicen los investigadores. "Las capacidades de robo de credenciales podrían conducir a una pérdida financiera significativa o una posible violación de datos (…) y el cambio en los mecanismos de persistencia y la detección de soluciones AV muestran que los autores de malware están mejorando activamente la funcionalidad de Loda".

Los investigadores de Talos han proporcionado indicadores de compromiso (IoC) a los que se puede acceder aquí.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia original