ThreatLabz observó una actualización del troyano bancario Ares que introduce un algoritmo de generación de dominio (DGA), que refleja el Qakbot DGA. Según el análisis del código de malware, no parece haber un vínculo directo entre estas dos familias de malware. Ares DGA puede ser un esfuerzo para que el actor de amenazas maximice la vida útil de una infección, lo que brinda más oportunidades para monetizar los sistemas comprometidos a través de ataques como el fraude electrónico y el ransomware.
Zscaler ThreatLabz ha estado rastreando los desarrollos del troyano bancario Ares , que surgió en febrero de 2021. Ares se basa en la familia de malware Osiris, que a su vez se bifurcó del troyano bancario Kronos original. Los actores de amenazas que utilizan Ares estuvieron inactivos desde aproximadamente marzo de 2022 hasta junio de 2022 pero... Con la nueva versión de Ares que se lanzó en agosto de 2022 que agrega nuevas funciones.
Estas nuevas muestras de Ares se compilaron el 15 de agosto de 2022 e implementan un algoritmo de generación de dominio. La introducción de un DGA no es en sí misma novedosa. Sin embargo, el algoritmo DGA es particularmente interesante porque es casi idéntico al DGA implementado por el troyano bancario Qakbot.
El desarrollador de Ares continúa agregando nuevas funciones al malware para que sea más resistente a la detección y la interrupción. La implementación de DGA de Qakbot permitirá que un actor de amenazas que use Ares implemente fácilmente nuevos servidores C2 y recupere el control de los sistemas infectados si se eliminan los servidores principales. Gracias a esto podemos concluir que Ares sigue activo y aun en desarrollo por lo que debemos estar atentos a las actualizaciones de estos.
