Kelihos Trojan vem se espalhando por hackers, atacando cidadãos russos, levando-os para a crença de que este é um software projetado para atacar recursos on-line pertencentes a governos ocidentais dos Estados Unidos e. A nova campanha maliciosa dos cibercriminosos apela ao patriotismo das vítimas para instalar o malware, enganando-os a pensar que o objetivo é retaliar contra sanções impostas pelos EUA à Rússia. De fato, o URL usado na mensagem maliciosa leva ao Trojan Kelihos.
A natureza do cavalo de Tróia Kelihos
A botnet Kelihos, também conhecido como Hlux, apareceu pela primeira vez em 2010 e foi originalmente usado para phishing, spam e ataques distribuídos de negação de serviço. Foi objeto de diferentes operações de retirada por empresas de segurança privada e agentes da lei; Contudo, ele reapareceu e agora está criando novas botnets. A última versão do Trojan Kelihos, Contudo, tem vários novos recursos, incluindo o envio de emails de spam, roubo de dados (Credenciais de FTP e email), comunicação com outros computadores infectados, Mineração de Bitcoin e roubo de contas de Bitcoin.
O Trojan Kelihos cria ainda mais uma entrada nos fundos do sistema comprometido e pode ser usado para baixar mais arquivos maliciosos no sistema afetado do PC atacado. Os bots Kelihos garantem aos atacantes o controle total das vítimas, já que o código malicioso pode baixar e executar cargas adicionais e pode monitorar o tráfego e roubar senhas para FTP, Protocolos POP3 e SMTP.
Trojan Kelihos - O que é diferente
A diferença com o Trojan Kelihos é que ele apela ao senso de curiosidade e aos sentimentos patrióticos das vítimas. Os criminosos cibernéticos informam às vítimas que executarão malware nos computadores visados, mas sem revelar a verdadeira natureza desse malware.
Os e-mails maliciosos enviados pelos cibercriminosos vêm com diferentes linhas de assunto que apelam ao espírito patriótico das vítimas e nem mesmo tentam disfarçar o link para o arquivo malicioso. Todos os destinatários atacados tinham endereços de e-mail com domínio .ru.
Trojan Kelihos - O que pensam os especialistas em segurança
Os especialistas em segurança confirmam que quando o Trojan Kelihos é executado nas vítimas’ computadores, enquanto o bot entra em contato com o Comando & Infraestrutura de controle sobre TCP e envia uma solicitação GET criptografada para os URLs C2. Em alguns dos e-mails maliciosos, os cibercriminosos fornecem dicas sobre como desativar o programa antivírus no PC, para permitir a instalação do malware.
Os especialistas veem isso como um método peculiar, mas eficiente de distribuir malware, com base na vontade do povo de participar de uma campanha de retribuição contra aqueles que tomaram medidas políticas ou financeiras contra seu país.
