Una nueva ola de ataques de malware está siendo enviada por el grupo Titanium APT que infecta los sistemas Windows con una backdoor oculto (puerta trasera) al imitar un software legítimo común y una técnica sin archivos.

Titanium APT es uno de los grupos hackers tecnológicamente avanzados, están utilizando diversas técnicas sofisticadas para atacar al objetivo, y su método de ataque hace que sea muy difícil detectar sus actividades en general. Además, los sistema de archivos de malware no se puede detectar como malicioso debido al uso de tecnologías de cifrado y sin archivos para infectar a las víctimas.

Proceso de Infección

Antes de instalarse el backdoor en Windows, los actores de amenazas siguen secuencias complejas como: subida del malware a un repositorio, descarga e instalación. Durante este proceso, en cada etapa, imitan software conocidos como programas de seguridad, programas para hacer videos en DVD, controladores de sonido, esto a fin de ser detecctado.

En ocaciones, Titanium APT inyecta los shellcode en un proceso llamado winlogon.exe, un archivo de proceso legítimo conocido popularmente como “Aplicación de inicio de sesión de Windows” que realiza una variedad de tareas críticas relacionadas con el proceso de inicio de sesión de Windows. Esto lo dijo Kaspersky a través de una publicación de blog.

Instalación del Backdoor

Como fase final, los atacantes usan el instalador Trojan-Backdoor que se lanzó desde la línea de comando usando una contraseña para descomprimirlo.

El instalador recibe una orden desde su servidor de Comando y Control (C2) enviando una solicitud vacía al servidor C2. En respuesta, el servidor C2 envía un archivo PNG que contiene datos esteganográficamente ocultos. Estos datos se cifran con la misma clave que las solicitudes de C&C. Los datos descifrados contienen comandos de puerta trasera para robar los datos de las víctimas infectadas. 

Puntos objetivos de la amenaza

Todos los usuarios que usen el sistema operativo Windows

Usuarios que ingresan a diversas páginas que contienen anuncios de programas de seguridad, grabadores de video, o cualquier otro programa gratuito

Nuestras recomendaciones

A todos los usuarios se les recomienda evitar la instalación o ejecución de programas de dudosa procedencia, generalmente los no licenciados

Al equipo de Tecnología, se recomienda limitar el acceso a páginas web de descarga de software y/o limitar la descarga de software desde páginas web

Asegurarse de que los antivirus de las PC’s se encuentren actualizados, y que los usuarios no tengan accesos privilegiados sobre ellas

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .