Resumen: Un nuevo malware que parece estar vinculado a China, tiene como objetivo ser desplegado en redes corporativas que poseen capacidades de detección avanzadas.
De acuerdo con los investigadores de Threat Hunter de Symantic, la nueva amenaza se trata de un backdoor sigiloso que sin duda, es el malware más avanzado utilizado por ciberatacantes chinos.
Denominado como Daxin, el malware se presenta en forma del controlador del kernel de Windows y posee características de comunicación avanzada que le permiten establecer la comunicación con los ordenadores infectados, inclusive cuando estos se encuentran dentro de un entorno de alta seguridad en donde la conexión directa a internet no está disponible.
Daxin es una puerta trasera que le permite al atacante ejecutar diversas operaciones en el ordenador infectado, como leer o escribir archivos arbitrarios, iniciar procesos arbitrarios e interactuar con ellos. No obstante, su verdadero valor reside en sus amplias capacidades de sigilo, que le permiten a los atacantes pasar desapercibidos.
Para poder evadir su detección, Daxin puede comunicarse secuestrando las conexiones TCP/IP legítimas. Para ello, monitoriza todo el tráfico TCP entrante en búsqueda de ciertos patrones.
El uso de las conexiones TCP, le confieren al backdoor el poder de mantenerse oculto dentro de sus comunicaciones y la ayuda para establecer la conectividad en las redes con reglas de firewall.
Una vez que detecta alguno de los patrones necesarios, desconecta al destinatario legítimo y toma el control de la conexión, cosa que le permitirá realizar un intercambio de claves personalizado con la finalidad de abrir un canal de comunicación de cifrado, para poder enviar y recibir comandos. Es preciso destacar que esta funcionalidad de Daxin puede ser propulsada mediante el despliegue de componentes maliciosos adicionales, ya que el malware les proporciona un mecanismo de comunicación específico mediante la implementación de “\Tcp4”.
Con el dispositivo “\Tcp4” abierto, los componentes pueden asociar un identificador de servicio de 32 bits, que les dará la oportunidad a los atacantes de comunicarse con los componentes seleccionados. Esto para establecer vías de comunicación a través de múltiples ordenadores, utilizando un único comando en un conjunto de nodos.
Finalmente, esta nueva herramienta supone una gran amenaza que le permitirá a los atacantes llevar a cabo un tráfico malicioso con posibilidades nulas de que sea marcado como sospechoso. Por lo mismo, se le recomienda a los usuarios mantener sus dispositivos al día y estar al pendiente de cualquier actualización para evitar su posible infección.
Recomendaciones: Tips para prevenir posibles ataques con backdoors: - Hacer uso de un Firewall - Mantener sus dispositivos actualizados - No descargar archivos sospechosos Referencias: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/daxin-backdoor-espionage |
SÍGUENOS