Las agencias de inteligencia en los Estados Unidos han publicado información sobre una nueva variante del virus informático de 12 años utilizado por los piratas informáticos patrocinados por el estado de China que apuntan a gobiernos, corporaciones y grupos de expertos.

Llamado » Taidoor » , el malware ha hecho un trabajo «excelente» de comprometer los sistemas ya en 2008 , con los actores desplegándolo en redes de víctimas para acceso remoto sigiloso.

«[El] FBI tiene una gran confianza en que los actores del gobierno chino están utilizando variantes de malware junto con servidores proxy para mantener una presencia en las redes de víctimas y para seguir explotando la red», dijo la Agencia Federal de Seguridad de Infraestructura y Ciberseguridad (CISA) de EE. UU. Investigación (FBI).

El Comando Cibernético de EE. UU. También ha subido cuatro muestras de Taidoor RAT en el repositorio público de malware VirusTotal para permitir que más de 50 compañías de antivirus verifiquen la participación del virus en otras campañas no atribuidas.

Sin embargo, el malware en sí no es nuevo. En un análisis realizado por investigadores de Trend Micro en 2012, se descubrió que los actores detrás de Taidoor aprovechaban los correos electrónicos de ingeniería social con archivos adjuntos PDF maliciosos para atacar al gobierno taiwanés.

Llamándolo una «amenaza constante y en constante evolución», FireEyeobservó cambios significativos en sus tácticas en 2013, donde «los archivos adjuntos de correo electrónico malicioso no eliminaron el malware Taidoor directamente, sino que dejaron caer un ‘descargador’ que luego capturó el malware Taidoor tradicional de Internet».

Luego, el año pasado, NTT Security descubrió evidencia de la puerta trasera utilizada contra organizaciones japonesas a través de documentos de Microsoft Word. Cuando se abre, ejecuta el malware para establecer comunicación con un servidor controlado por el atacante y ejecutar comandos arbitrarios.

Según el último aviso, esta técnica de usar documentos señuelo que contienen contenido malicioso adjunto a correos electrónicos de phishing no ha cambiado.

«Taidoor se instala en el sistema de un objetivo como una biblioteca de enlaces dinámicos (DLL) de servicio y se compone de dos archivos», dijeron las agencias. «El primer archivo es un cargador, que se inicia como un servicio. El cargador (ml.dll) descifra el segundo archivo (svchost.dll) y lo ejecuta en la memoria, que es el principal troyano de acceso remoto (RAT)».

Además de ejecutar comandos remotos, Taidoor viene con características que le permiten recopilar datos del sistema de archivos, capturar capturas de pantalla y llevar a cabo las operaciones de archivo necesarias para filtrar la información recopilada.

CISA recomienda que los usuarios y administradores mantengan actualizados sus parches del sistema operativo, deshabiliten los servicios para compartir archivos e impresoras, apliquen una política de contraseña segura y sean cautelosos al abrir archivos adjuntos de correo electrónico.

Fuente y redacción: thehackernews.com

Compartir