El grupo de delincuentes que se encuentra detrás de Adwind RAT, uno de los troyanos de acceso remoto desplegados con más actividad, incluso en OSX, ha rebautizado su proyecto con el objetivo de volver al mercado del software malicioso. El nombre elegido para esta vuelta es el de JBifrost. Este malware apareció en Enero de 2012 bajo el nombre de Frutas RAT, y al año siguiente se renombró como Adwind RAT. Como las campañas de malware y la actividad de éste eran expuestos, los delincuentes cambiaban el nombre del malware una y otra vez.
Adwind fue rebautizada como Unrecom en febrero de 2014, como AlienSpy en octubre de 2014 y como JSocket RAT en junio de 2015. JSocket desaparece y JBifrost aparece tres meses más tarde. Después del informe de Kaspersky publicado en febrero de 2016, la ultima encarnación de la RAT conocida como JSocket cerró poco después. Los investigadores de Fortinet han comentado que Adwind fue rebautizada con una nueva interfaz gráfica de usuario, y sólo un pequeño conjunto de nuevas características en comparación a JSocket.
 |
| Figura 1: JBifrost y los métodos de pago |
El nuevo JBifrost es ahora una comunidad cerrada. La página web JBifrost no está disponible para nadie más, a diferencia de los casos anteriores en los que cualquiera podría comprar la RAT, los usuarios necesitan un código de invitación para registrarse en el sitio web de JBifrost y comprar la RAT. Los delincuentes están vendiendo JBifrost como una suscripción mensual de 45 dólares el primer mes y 40 dólares para una renovación de la suscripción. Otro gran cambio en el funcionamiento está en cómo los delincuentes recogen el dinero. Anteriormente, se aceptaba pagos a través de PerfectMoney, CoinPayments, Advcash, EntroMoney y Bitcoin. Ahora, solo se pueden llevar a cabo los pagos a través de Bitcoin, probablemente debido a que los otros métodos de pago no son anónimos y puede dar lugar a la aplicación de la ley.
Como se ha mencionado anteriormente, JBifrost viene con cambios mínimos en comparación con Adwind. Fortinet indicó que detectó solo cambios menores que incluyen una nueva columna que muestra el estado del teclado de una víctima infectada y una nueva columna que muestra el título de la ventana actual de la víctima. En el momento del análisis, la gente de Fortinet indicó que JBifrost había sido descargada desde el sitio web 1566 veces, y que ha sido detectado en las campañas de distribución de malware actuales
No hay comentarios:
Publicar un comentario