Friday, 15 November 2019

UN NUEVO Y PELIGROSO BACKDOOR DISPONIBLE EN DEEP WEB

CONTENIDO ORIGINAL: https://noticiasseguridad.com/malware-virus/un-nuevo-y-peligroso-backdoor-disponible-en-deep-web/

Según reportes de expertos en forense digital, el peligroso grupo de hackers conocido como Platinum ha anunciado el lanzamiento de Titanium, un nuevo troyano backdoor que incluye avanzadas funciones para controlar una computadora infectada por completo.

En el reporte, publicado por la firma de seguridad Kaspersky Lab, se menciona que este backdoor puede esconderse de la vista de las víctimas haciéndose pasar por algún software legítimo, como quemador de CDs, controlador de sonido, o incluso como una herramienta de seguridad anti malware.

Los expertos en forense digital aseguran que el grupo Platinum, también identificado como TwoForOne, lleva al menos una década activo, inyectando código malicioso en redes gubernamentales, agencias de inteligencia, instituciones de Defensa Nacional, compañías de telecomunicaciones y otras grandes organizaciones en todo el mundo, registrando intensa actividad en las regiones sur y este de Asia.

Respecto a este nuevo software malicioso, los expertos de Kaspersky Lab aseguran que Titanium cuenta con una compleja secuencia para su entrega, descarga e instalación en el sistema objetivo, concluyendo este proceso con el despliegue del backdoor.

Titanium también es capaz de esquivar la detección de casi cualquier herramienta de seguridad, empleando cifrado, técnicas de camuflaje y entregando datos cubiertos con esteganografía a través de imágenes PNG.

Según el reporte de los especialistas en forense digital, después de que el troyano completa la infección, se entrega la carga útil final y se descargan los archivos necesarios para su ejecución usando el Servicio de Transferencia Inteligente en Segundo Plano de Windows (BITS, por sus siglas en inglés). La comunicación entre el troyano y su servidor de comando y control (C&C) se presenta mediante una herramienta cURL.

El troyano debe enviar una solicitud codificada en base 64, que contiene un ID de sistema, nombre de la computadora y número de serie del disco duro, para comenzar la secuencia de comandos del servidor: “Los comandos comenzarán a ser recibidos después de establecer la conexión”, agregan los expertos.

Entre las principales funciones de este troyano se encuentran:

  • Lectura de cualquier archivo del sistema
  • Envío de cualquier archivo del sistema al C&C
  • Entrega y ejecución de cualquier archivo
  • Herramienta de actualización

Además, este troyano cuenta con un ‘modo interactivo’ que permite a los atacantes recibir inputs del los programas de la consola y enviar los outputs al C&C.

Acorde a expertos del Instituto Internacional de Seguridad Cibernética (IICS) aún no se cuenta con evidencia de actividad de este troyano en escenarios reales, aunque el hecho de que esté disponible en deep web vuelve muy probable un ataque en el futuro cercano.


0 comments:

Post a Comment