Un nuevo estudio realizado por la agencia de calificación de seguridad cibernética Pitcairn muestra que el troyano Flobot se está propagando rápidamente en Alemania a través de mensajes SMS que fingen provenir de compañías de envío como DHL y FedEx.
BitSight ha estado recopilando datos de telemetría sobre infecciones de FluBot desde marzo de 2021. Se identificaron un total de 1,3 millones de IP utilizadas por dispositivos Android infectados. Más de la mitad (61 por ciento) de estos estaban en Alemania y España, y las IP aumentaron con el tiempo, lo que indica un aumento en los dispositivos infectados.
Descubierto por primera vez a principios de 2020, FluBot es un troyano bancario que se utiliza para robar información bancaria, de contacto, SMS y otra información personal. Sus operadores, estrategias avanzadas de ingeniería social y métodos de entrega, han impulsado el crecimiento y la multiplicación continuos de FluBot.
FluBot le permite tener un control remoto completo del dispositivo infectado, incluido el envío de mensajes SMS y notificaciones, interceptación y ocultación, borrado de datos confidenciales del usuario, como contactos, entradas, contraseñas e información personal, y ataques superpuestos. .
El malware generalmente distribuye mensajes SMS a contactos en el dispositivo infectado y contactos descargados del servidor C2 de FluBot. FluBot generalmente aparece como un mensaje para la entrega de paquetes.
Observaciones de Pitsite
Actualmente, el malware se distribuye principalmente en Europa, especialmente en Alemania, España e Italia (74 por ciento) y Australia (7 por ciento). Destaca informes recientes que sugieren que los operadores de FluBot pueden estar apuntando a diferentes regiones o países, pero que esto también puede ser el resultado de la proliferación. Es razonable suponer que la mayoría de los contactos de la víctima son de la misma región o país. Por lo tanto, la infección regional puede no ser intencional, sino más bien el resultado del diseño de malware.
Desde que BitSight comenzó a rastrear a FluBot, la cantidad de direcciones IP infectadas también ha aumentado. Debido a que el dispositivo móvil puede compartir la misma dirección IPv4 con otros dispositivos debido a la traducción de direcciones de red (NAT) y la fatiga de IPv4, la cantidad de direcciones IP no tiene que coincidir con la cantidad de dispositivos infectados. Sin embargo, un aumento en las IP puede ser un indicador de un aumento en las infecciones de dispositivos.
En enero, unas 170.000 IP (utilizadas por dispositivos infectados) se conectaron a la infraestructura de BitSight Singlehole. La mayoría de ellos están afectados por FluBot versión 4.8 o anterior. Estas versiones se comunican con su servidor C2 mediante HTTPS. Desde la versión 4.9, FluBot se comunica con su servidor C2 a través de HTTPS (DoH) utilizando un túnel DNS. De las 170 000 direcciones IP encontradas en enero, aproximadamente 30 000 estaban infectadas con FluBot 4.9 a 5.2 (versión actual de este informe).
FluBot utiliza el algoritmo de generación de dominios (DGA) para comunicarse con su servidor C2. Se actualizó la DGA a la versión 5.1 (versión de Python en la sección de IOC). También incluye nuevas modificaciones semilla adicionales descargadas del servidor C2 para crear dominios.
Con estas versiones más nuevas, el atacante asigna un servidor de nombres que actúa como un servidor C2, recibiendo y transmitiendo datos en el protocolo DNS. FluBot utiliza proveedores de DoH como Google y Cloudflare para ingresar y salir de datos en el servidor C2, lo que permite que el dispositivo infectado se comunique con su servidor C2 sin conocer su dirección IP.
El proveedor de DNS envía la solicitud de DNS al servidor C2 (servidor de nombres), que devuelve la respuesta TXT DNS solicitada por el bot. La solicitud contiene la clave simétrica generada por el bot y cifrada con RSA, y la clave privada está en la página del servidor C2.
¡Casi termino!
¡Confirme su dirección de correo electrónico!
Haga clic en el enlace del correo electrónico que le enviamos. También revise su carpeta de correo no deseado y agréguenos a su lista de deseos.
Información adicional sobre el boletín.
Desarmar Flopot
Los ataques no parecen estar dirigidos específicamente a empresas, sino a individuos, pero es importante que las empresas tomen las medidas adecuadas de mitigación de riesgos.
Dado que FluBot se distribuye a través de la ingeniería social, es esencial que los empleados estén informados. Los ejemplos de mensajes SMS de FluBot y páginas de cebo malicioso muestran lo que los empleados deben tener en cuenta. La capacitación eficaz del personal puede prevenir la infección por FluBot.
El software antimalware ayuda a prevenir, detectar y eliminar las infecciones de FluBot. Esto se puede hacer manualmente eliminando el malware, lo que puede llevar mucho tiempo, especialmente si la infección está muy extendida. Las soluciones de administración de dispositivos móviles (MDM) pueden controlar la capacidad de instalar aplicaciones.
André Tavares, investigador de amenazas BitSight
www.bitsight.es
