Este malware sigiloso y ‘más avanzado’ se infiltra profundamente en las redes para robar datos

Estas billeteras criptograficas falsas quieren robar a los usuarios de

Los investigadores de seguridad han descubierto una puerta trasera sigilosa de un grupo de piratería vinculado a China que se utiliza para apuntar a la infraestructura crítica en varios países.

El malware, apodado Daxin por los investigadores de Symantec, propiedad de Broadcom, es un ‘rootkit’ de puerta trasera o malware diseñado para dar a un atacante acceso de nivel de privilegio ‘root’ de bajo nivel a un sistema comprometido. Se utilizó por última vez en noviembre de 2021, según Symantec.

Symantec declaró en una publicación de blog que el malware del controlador del kernel de Windows era la «pieza de malware más avanzada» que sus investigadores habían visto de actores vinculados a China.

VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)

El malware está diseñado para penetrar en redes que se han reforzado contra ataques cibernéticos.

La Agencia de Infraestructura y Seguridad Cibernética de EE. UU. (CISA) calificó a Daxin como un incidente de seguridad de «alto impacto» según la información compartida a través de sus socios de ciberseguridad del sector privado de EE. UU. en la Colaboración Conjunta de Defensa Cibernética.

CISA señala que Daxin se ha utilizado contra gobiernos selectos y otros objetivos de infraestructura crítica. CISA y Symantec se comprometieron con varios gobiernos a los que se dirigió el malware Daxin y ayudaron en la detección y remediación, dice CISA.

Daxin es una «puerta trasera de rootkit altamente sofisticada con una funcionalidad compleja y sigilosa de comando y control (C2)», según CISA.

«Daxin parece estar optimizado para su uso contra objetivos endurecidos, lo que permite a los actores penetrar profundamente en las redes específicas y filtrar datos sin levantar sospechas», señala CISA.

Los investigadores de Symantec creen que el malware se usa para espionaje en lugar de destruir datos como el malware WhisperGate y HermeticWiper que actualmente se dirige a organizaciones de Ucrania.

«La mayoría de los objetivos parecen ser organizaciones y gobiernos de interés estratégico para China», dijeron los investigadores de amenazas de Symantec.

«Daxin es sin duda la pieza de malware más avanzada que los investigadores de Symantec han visto utilizada por un actor vinculado a China».

El malware del controlador del kernel de Windows es raro hoy en día, según los investigadores de Symantec, quienes creen que es similar a Regin, una pieza de malware que impresionó a sus investigadores en 2014.

La característica sobresaliente de Daxin es que no inicia sus propios servicios de red, sino que depende de servicios de red legítimos que se ejecutan en computadoras que ya están comprometidas.

Los métodos son similares a las técnicas de «vivir de la tierra» sobre las que Microsoft advirtió anteriormente en relación con el malware que utiliza servicios legítimos de Windows para evadir la detección. Pero en lugar de utilizar procesos legítimos del sistema operativo, Daxin explota el tráfico de red seguro legítimo entre servidores internos para infectar computadoras y evitar la detección.

El malware permite a los atacantes comunicarse a través de una red de computadoras infectadas y elige la ruta óptima para las comunicaciones entre esas computadoras en un solo barrido.

Funciona secuestrando el proceso de intercambio de claves de cifrado entre computadoras en red en función de las señales de tráfico TCP entrantes que indican si vale la pena apuntar a una conexión determinada.

VER: Los ataques de malware de Linux van en aumento y las empresas no están preparadas para ello

TCP es uno de los protocolos originales de Internet, diseñado para proteger las comunicaciones de extremo a extremo entre dispositivos conectados a la red.

«Si bien no es raro que las comunicaciones de los atacantes realicen múltiples saltos a través de las redes para sortear los firewalls y, en general, evitar levantar sospechas, esto generalmente se hace paso a paso, de modo que cada salto requiere una acción separada», señala Symantec. .

«Sin embargo, en el caso de Daxin, este proceso es una sola operación, lo que sugiere que el malware está diseñado para ataques en redes bien protegidas, donde los atacantes pueden necesitar volver a conectarse periódicamente a las computadoras comprometidas».

Symantec señala que los atacantes intentaron implementar Daxin en 2019 mediante una sesión de PsExec. PSExec es una herramienta legítima de Windows que permite a los administradores reparar computadoras de forma remota.

Sin embargo, agrega que las similitudes entre las bases de código de Daxin y el malware previamente conocido llamado Zala sugieren que el grupo ha estado activo desde 2009. Daxin mejora las funciones de red preexistentes de Zala.

Deja un comentario