• Home /

  • Ciberseguridad /

  • Reciclar también es cosa de cibermalos: reutilizan un malware de hace 15 años para ransomware

Reciclar también es cosa de cibermalos: reutilizan un malware de hace 15 años para ransomware

Aunque ciertas variantes del malware se seguían usando para el robo de datos bancarios, una llamada LDR4 lo recupera como algo más peligroso.

Alberto Payo

Periodista

Guardar

Piratas informáticos han reciclado un malware bancario que existe desde hace más de 15 años.
Piratas informáticos han reciclado un malware bancario que existe desde hace más de 15 años.

En el mundo de la ciberseguridad también se hacen croquetas y ropa vieja con la carne que sobra del cocido. Los cibermalos suelen aprovechar códigos con cierta antigüedad para crear nuevas amenazas. Aunque esta se lleva la palma. 

Parece que piratas informáticos se han servido de un malware bancario que existe desde hace más de 15 años para fines maliciosos, según han encontrado los investigadores de Mandiant. Este 'veterano' habría sido reconstruido transformándose en un troyano de puerta trasera que podría evolucionar en algo más preocupante.

A la nueva variante se la conoce como Ursnif (además de como Gozi) y los expertos sugieren que su creación responde al interés por llevar a cabo ataques de ransomware y robo de datos. 

La primera vez que se supo de la existencia de este malware fue en 2006. Desde entonces ha causado cuantiosas pérdidas. El FBI llegó a describirlo como "uno de los virus informáticos más destructivos financieramente de la historia". Desde entonces, el código fuente original fue filtrado, lo que generó distintas variantes nuevas que aún afectan a las víctimas hasta el día de hoy.

Dichas versiones se habrían mantenido alineadas con el objetivo original de Ursnif: el robo de datos bancarios. Pero según alerta Mandiant, las cosas han cambiado con una nueva vairante denominada LDR4, que ha llevado a transformar el malware an algo parecido a Trickbot o Emotet

"LDR4 podría ser una variante significativamente peligrosa, capaz de distribuir ransomware, que debe vigilarse de cerca", advierte Mandiant en un post en su blog. 

El phishing: su método de transporte preferido

Esta nueva variante fue 'avistada' por primera vez en junio de este año y su vía de distribución es a través de correos electrónicos de phishing, una forma muy popular que también se usaba en las campañas anteriores de Ursnif. 

Estos emails de phishing se hacen pasar por un responsable de recursos humanos que ofrece una nueva oportunidad laboral. Pero debido a la ley de protección de datos indica que no puede dar información en el mismo email, instando a la víctima a descargar un documento si quiere saber más. Otra encarnación son mensajes indicando que contienen una factura que hay que mirar con urgencia. 

Ya sea un señuelo u otro, si el usuario pica lo que hará es descargar la carga útil de Urnsif, que va a proporcionar a los atacantes acceso remoto a la máquina. Así, en última instancia podrían hacerse con los archivos personales del equipo o cifrarlos para pedir un rescate a su dueño.

"Este es un cambio significativo del propósito original del malware para permitir el fraude bancario, pero es consistente con el panorama de amenazas más amplio", han explicado los investigadores de Mandiant.