Adwind fue rebautizada como Unrecom en febrero de 2014, como AlienSpy en octubre de 2014 y como JSocket RAT en junio de 2015. JSocket desaparece y JBifrost aparece tres meses más tarde. Después del informe de Kaspersky publicado en febrero de 2016, la ultima encarnación de la RAT conocida como JSocket cerró poco después. Los investigadores de Fortinet han comentado que Adwind fue rebautizada con una nueva interfaz gráfica de usuario, y sólo un pequeño conjunto de nuevas características en comparación a JSocket.
El nuevo JBifrost es ahora una comunidad cerrada. La página web JBifrost no está disponible para nadie más, a diferencia de los casos anteriores en los que cualquiera podría comprar la RAT, los usuarios necesitan un código de invitación para registrarse en el sitio web de JBifrost y comprar la RAT. Los delincuentes están vendiendo JBifrost como una suscripción mensual de 45 dólares el primer mes y 40 dólares para una renovación de la suscripción. Otro gran cambio en el funcionamiento está en cómo los delincuentes recogen el dinero. Anteriormente, se aceptaba pagos a través de PerfectMoney, CoinPayments, Advcash, EntroMoney y Bitcoin. Ahora, solo se pueden llevar a cabo los pagos a través de Bitcoin, probablemente debido a que los otros métodos de pago no son anónimos y puede dar lugar a la aplicación de la ley.
Como se ha mencionado anteriormente, JBifrost viene con cambios mínimos en comparación con Adwind. Fortinet indicó que detectó solo cambios menores que incluyen una nueva columna que muestra el estado del teclado de una víctima infectada y una nueva columna que muestra el título de la ventana actual de la víctima. En el momento del análisis, la gente de Fortinet indicó que JBifrost había sido descargada desde el sitio web 1566 veces, y que ha sido detectado en las campañas de distribución de malware actuales
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...