El mes pasado os anunciábamos que el FBI tomaba posesión de la botnet que daba soporte a este troyano bancario y que había comenzado su desmantelamiento. Después de pensar que Gameover se habría pagado de forma definitiva una nueva variante de este troyano bancario a hecho acto de presencia, variante que es considerada por expertos en seguridad como una copia del original.
Expertos en seguridad confirman que efectivamente es una variante (o una copia) del original. El código y la finalidad de este siguen siendo iguales pero sí que es verdad que existen algunas diferencias para tratar de proteger la botnet que sirve de sustentación al nuevo malware.
Cuando el archivo llega al ordenador del usuario (posteriormente diremos qué técnicas utiliza) en vez de ser el virus se trata de un archivo que solo posee las instrucciones de buscar una serie de servidores desde donde se dará instrucciones. Es desde estos servidores desde donde se descarga el troyano bancario propiamente dicho que va a afectar al usuario. En un intento por analizar el comportamiento del virus, se ha visto que este no funciona de forma correcta en las máquinas virtuales. Es decir, si el archivo que busca las conexiones se ejecuta desde un sistema Windows que se está corriendo sobre una VMWare (por ejemplo) este no es capaz de conectar con los sitios web indicados para recibir instrucciones.
Las finalidades siguen siendo las mismas
Cifrar el disco duro del usuario y de todos los datos contenidos en él es el cometido de esta nueva variante. Como es habitual en este tipo de virus, después de realizar el cifrado se indica al usuario que si quiere recuperar el acceso a los datos se debe ingresar una cierta cantidad de dinero haciendo uso unos mecanismos que el propio troyano indica. Además está llamado a realizar el robo de todos los datos bancarios que se encuentren a su alcance.
Se estima que hasta el momento se haya robado gracias a Gameover una cantidad que supera los 100 millones de dólares. Las esperanzas de los ciberdelincuentes pasan por aumentar esta cifra gracias a esta nueva variante. Es importante saber cómo funciona un troyano en un PC.
Correo spam como principal vía de expansión de Gameover
Durante esta semana hemos hablado y muchos de los correos spam. En este caso es la vía de propagación de esta amenaza. La temática del correo enviado es bastante variada y no existe un modelo concreto. Todas ellas están relacionadas con problemas financieros y se adjunta un detalle en el propio correo. Lo que en principio se indica como un archivo PDF en realidad en un .src que servirá para hacer llegar al equipo «el guía» para la instalación final del troyano bancario.
Fuente | The Hacker News