Kelihos troyano se ha ido extendiendo por los hackers, atacar a los nacionales rusos, llevándolos a la creencia de que este es un software diseñado para atacar a los recursos en línea que pertenece a los Estados Unidos y los gobiernos occidentales. La nueva campaña maliciosa por los criminales cibernéticos apela al patriotismo de las víctimas para instalar el malware, engañándolos para pensar que el objetivo es tomar represalias contra las sanciones impuestas por Estados Unidos a Rusia. De hecho, la dirección URL utilizada en el mensaje malicioso conduce a la Kelihos de Troya.
La Naturaleza de Kelihos Troya
La botnet Kelihos, también conocido como Hlux, apareció por primera vez en 2010 y fue utilizado originalmente para el phishing, spam y ataques distribuidos de denegación de servicio. Ha sido objeto de diversas operaciones de asimilación por las empresas privadas de seguridad y cumplimiento de la ley; sin embargo, ha re-generado y ahora está creando nuevas redes de bots. La última versión del troyano Kelihos, sin embargo, tiene varias capacidades nuevas, incluyendo el envío de correos electrónicos de spam, robo de datos (FTP y correo electrónico credenciales), comunicarse con otros ordenadores infectados, Minería Bitcoin y robar cuentas Bitcoin.
El Kelihos troyano crea además una entrada trasera del sistema comprometido y se puede utilizar para descargar archivos maliciosos en el sistema afectado de la PC atacado. Los bots Kelihos garantizan a los atacantes el control total de las víctimas, como el código malicioso podría descargar y ejecutar cargas adicionales y puede controlar el tráfico y robar contraseñas de FTP, Protocolos POP3 y SMTP.
Kelihos Trojan - Lo que es diferente
La diferencia con el Kelihos troyano es que apela al sentido de la curiosidad y los sentimientos patrióticos de las víctimas. Los criminales cibernéticos aquí informan a las víctimas que van a ejecutar malware en los equipos de destino, pero sin revelar la verdadera naturaleza de que el malware.
Los correos electrónicos maliciosos enviados por los ciberdelincuentes cuentan con diferentes líneas de asunto que apelan al espíritu patriótico de las víctimas y ni siquiera tratan de ocultar el enlace al archivo malicioso. Todos los beneficiarios que fueron atacadas tenían direcciones de correo electrónico con el dominio .ru.
Kelihos Trojan - Lo que los expertos en seguridad Think
Los expertos en seguridad confirman que cuando el Kelihos troyano se ejecuta en las víctimas’ ordenadores, como los contactos de bots del Comando & Infraestructura de control a través de TCP y envía una solicitud GET cifrado a las URLs C2. En algunos de los correos electrónicos maliciosos, los criminales cibernéticos ofrecen consejos sobre la manera de desactivar el programa antivirus en el PC, para permitir la instalación del malware.
Los expertos ven esto como un método peculiar pero eficiente para entregar el malware, basado en la disposición de las personas a participar en una campaña de venganza contra los que tomaron medidas políticas o financieras en contra de su país.
