Floki Bot, que utiliza el código del ya famoso troyano bancario Zeus, ha evolucionado y a diferencia de su predecesor, apunta a los sistemas de punto de venta mediante campañas de spear phishing y el kit de exploits RIG.

Investigadores en seguridad de Cisco Talos y Flashpoint coordinaron la publicación de los informes acerca de Floki Bot. Ambas firmas advirtieron que el malware está ganando popularidad rápidamente dentro de los foros criminales de la web oscura.

"Floki Bot se está comprando y vendiendo activamente en varios mercados de la darknet", escribió Cisco Talos en su informe. "Es probable que continúe siendo visto con naturaleza mientras  los ciberdelincuentes sigan tratando de aprovecharlo para atacar sistemas con el objetivo de monetizar sus esfuerzos".

Esta versión más reciente de Floki Bot, que apareció en septiembre, está basada en el código fuente de Zeus 2.0.8.9 publicado en 2011. Ha habido varias versiones de Floki Bot desde entonces, sin embargo esta versión más reciente está siendo desarrollada, comercializada y vendida por un atacante que lleva el mismo nombre que el malware.

"Este actor es notable por una serie de razones, en particular su presencia en un gran número de comunidades de primer nivel en una variedad de idiomas (portugués, inglés y ruso)", escribió Vitali Kremez, analista de inteligencia de Flashpoint en un informe publicado. Kremez cree que el idioma nativo de Flokibot es portugués y que el atacante es de Brasil.

Las infecciones típicas provienen de ataques de phishing dirigidos, en los cuales las víctimas son atraídas para habilitar macros maliciosas en documentos de Microsoft Word enviados como archivos adjuntos de correo electrónico. Una vez habilitada, la macro recupera el malware Floki Bot, según Kremez.

"Una vez que el malware es ejecutado, intenta inyectar código malicioso en explorer.exe (el gestor de archivos de Microsoft Windows)", según el análisis técnico de Talos de la secuencia de inyección del código del malware Floki Bot. "Si no puede abrir explorer.exe, se inyectará en svchost.exe."

La inyección es un archivo PE (bot32). "La muestra que analizamos está codificada para pasar la dirección del recurso 'bot32' al payload inyectado”, escribió Cisco Talos. "En cada etapa, el malware utiliza hashing para ofuscar los nombres de módulos y funciones utilizados en la resolución dinámica de la biblioteca."

De acuerdo con los investigadores de Flashpoint, la diferencia del malware Floki Bot en comparación con Zeus es que fue distribuido en campañas masivas de spam. Zeus tampoco incluyó funcionalidad “PoS scraping” y estuvo ausente de cualquier técnica de ofuscación antivirus descubierta en Floki Bot en noviembre.

Otras diferencias entre Floki Bot y Zeus incluyen la disponibilidad de Floki Bot en la web oscura siendo vendida por 1,000 dólares. La variante de Zeus llamada GameOver, por el contrario, fue solo distribuido a un círculo cerrado de bandas criminales y se vendió por 15,000 dólares en su apogeo, dijo Kremez.

Otra diferencia entre ZeuS y Floki Bot es la presencia de soporte de la red Tor en el código fuente. Talos dice que el código de soporte de Tor no es funcional y "parece estar bajo desarrollo y no pudo ser activado en las muestras".

Cisco y  Flashpoint advierten que los que están detrás de Floki Bot han trabajado duro para reducir la barrera técnica necesaria para que los ciberdelincuentes usen la herramienta.