Cisco Talos y Flashpoint se han unido para analizar el Floki Bot, un troyano bancario basado en Zeus que está evolucionando rápidamente en la delincuencia informática.
El robot Floki es un troyano bancario basado en Zeus, que se ha vendido en el mundo de la ciberdelincuencia desde septiembre de 2016. El malware se desarrolla a partir del cosigo Zeus fuente que se filtró en 2011, que se ofrece por 1,000 dolares en bitcoins. Sin embargo, los investigadores determinaron que el malware incluye algunas nuevas capacidades, incluyendo las características anti-detección.
"Floki Bot es una nueva variante de malware que recientemente se ha puesto a la venta en varios mercados darknet. Se basa en la misma base de código que fue utilizado por el famoso troyano Zeus, el código fuente de la que se filtró en 2011. " Segun análisis publicado por el Equipo de Talos. "En lugar de simplemente copiar las características que estaban presentes dentro del troyano Zeus" tal cual, "Floki Bot afirma que cuentan con varias nuevas capacidades por lo que es una herramienta atractiva para los delincuentes."
El robot Floki está evolucionando rápidamente, los autores implementaron nuevas características, incluyendo las técnicas de detección de anti-sofisticados y el uso de la red Tor. Los investigadores de malware en Talos descubrieron un nuevo código fuente que permite que la amenaza del uso de la red Tor, pero la característica parece ser todavía no está activo.
"Durante nuestro análisis de Floki Bot, Talos identificó modificaciones que se habían introducido en el mecanismo gotero presente en el código fuente de Zeus se filtró en un intento de hacer Floki Bot más difíciles de detectar. Talos también observó la introducción del nuevo código que permite Floki Bot para hacer uso de la red Tor.", Segun el análisis.
Los expertos de Flashpoint especular que el Floki Bot tiene un origen brasileño, el hacker detrás del malware está utilizando actualmente el apodo de "flokibot" y se comunica en portugués. Está dirigido a direcciones IP y dominios brasileños y sistemas dirigidos, ha idioma predeterminado el portugués.
El hacker "flokibot" actua como una especie de "conector", que está presente en varias de las principales comunidades de criminalidad en todo el mundo, en particular de Rusia y de web oscuras y comunidades de habla Inglésa.
Incluso el análisis de su actividad en el metro sugiere que el hacker se encuentra en Brasil, que es el más activo en los foros subterráneos durante las horas en GMT -3 zona horaria de Brasil.
"Más allá de la inteligencia única obtenida por los analistas Punto de inflamación y la orientación de la campaña Brasil, flokibot , un miembro de habla portuguesa de Inglés y comunidades de habla rusa, fue identificado por varios marcadores como muy probable que sea brasileña", segun el análisis publicado por el punto de inflamación.
La presencia de flokibot en varias de las principales comunidades subterráneas sugiere el conocimiento y las herramientas de importación banda en la delincuencia informática brasileña .
Vitali Kremez, analista de Flashpoint, dijo en un blog: "Mientras que los cibercriminales brasileños no son técnicamente muy sofisticado como sus homólogos rusos, que a menudo solicitan nuevas formas de malware (para incluir puntos de venta [POS] ransomware y bancarias troyanos), u ofrecer sus propios servicios,". "Parece que una presencia en las comunidades rusas [profunda y oscura Web] puede ser un factor probable en la flokibot progresión."
Ahora es el tiempo de Navidad , el mejor período para los criminales cibernéticos que intentan robar datos de tarjetas de crédito, en este período se observa la proliferación de puntos de venta de software malicioso utilizado para este propósito.
Los investigadores descubrieron que la nueva cepa de Floki Bot también incluye el código para raspar los datos de tarjetas de pago a partir de los sistemas POS memoria.
Una campaña analizada por Flashpoint reveló que 225 robots de Floki han recogido un total de 1.375 tarjetas de credito.
Los investigadores han observado un aumento en el número de ataques basados en Floki Bot contra las compañías de seguros de Estados Unidos, los bancos canadienses y brasileños.
