Betabot empieza a enviar el ransomware Cerber



Betabot, una pieza de malware que ha existido durante años, recientemente ha comenzado a enviar el ransomware a ordenadores comprometidos, según señala Invincea.


Anteriormente, Betabot era ante todo un troyano que robaba información bancaria, un troyano que roba contraseñas, y una red de bots, pero parece que el malware de la vieja escuela ahora está buscando sacar provecho de la tendencia actual de ransomware. Ahora, Betabot convierte primero un documento como arma conocida con el malware que roba la contraseña y en un segundo ataque utiliza el ransomware.

En un nuevo informe sobre el troyano, Patrick Belcher, director senior de investigación de amenazas de Invincea, explica que el malware envía paquetes sobre una máquina virtual y puede comprobar si se está utilizando una sandbox (caja de arena), lo que ayuda a evadir la detección y análisis. Lo que es más, se observó que Betabot la semana pasada era entregado por el kit exploit Neutrino, según añadió el investigador.

La campaña de infección se basa en documentos entregados como archivos adjuntos de correo electrónico, y en ingeniería social para engañar a los usuarios a que permitan las macros. Los archivos adjuntos pretenden ser hojas de vida (curriculum vitae), pero, una vez que las macros maliciosas se han habilitado, el malware es capaz de recolectar todas las contraseñas almacenadas en los navegadores locales y los envia. La campaña de correo electrónico intentó infectar a miles de víctimas, señaló Belcher.

Aunque Betabot no hacía nada más en la máquina comprometida luego de robar las contraseñas, ahora se ha observado que realiza un ataque de segunda etapa, donde el malware despliega el ransomware Cerber. Al adoptar este enfoque, los operadores del malware están buscando aumentar sus beneficios, dice el investigador.

Una sola dirección IP (93 [.] 174.91.49) se utiliza tanto para Betabot y Cerber, Belcher explica que los autores de malware conmutaron entre los dos en algún momento entre el 11 de agosto y el 16 de agosto mediante el documento llamado RESUME.DOC que cargaba el ransomware Cerber antes del 11 agosto, pero empezaron la entrega de Betabot (como bb.exe, bbcrypt.exe, y diablo.exe) el 16 de agosto.

"Esta es la primera vez que un programa malicioso que roba contraseña mediante un documento utiliza como un segundo ataque el ransomware. Se trata de una evolución en la maximización de los beneficios de punto final, obteniendo desembolsos mucho mayores mediante el uso de múltiples técnicas de ataque ", concluye Belcher.