Hemos detectado un nuevo
troyano desconocido que utiliza inyecciones en
formato JSON. Después de ver tantos troyanos usando inyecciones tipo
ZeuS, es interesante encontrarse algo así. Actualmente afecta a
entidades polacas. El análisis preliminar de las inyecciones nos ha
permitido ver que en ciertas entidades se incluye el código necesario
para realizar transferencias automáticas (ATS).
La muestra tiene un chequeo que evita que pueda ser ejecutada a partir
del 1 de abril de 2015. Esto no quiere decir que a partir de ese día
desaparezca la amenaza, es muy probable que el
botmaster envíe
una actualización del binario antes de esa fecha. El objetivo de la
medida es, probablemente, el limitar la ventana de tiempo en la que las
muestras pueden ser analizadas de forma automática en
sandboxes.
Existen indicios de que el autor usó el código fuente de Chromium para
crear el troyano al cual hemos decidido bautizar como Slave. Uno de los
nombres con los que se ha distribuido el
troyano es
Faktura V_388_02_20_2015.doc.scr lo cual parece indicar que al menos una de las vías de distribución del
malware con las campañas de
spam.
En un futuro, y una vez hayamos analizado las inyecciones en detalle,
actualizaremos el blog para mostrar cómo funciona el módulo ATS de las
mismas
