Nueva puerta trasera se distribuye a través de ataques de fuerza bruta

Share this…

No es nada nuevo. Los ciberdelincuentes se aprovechan del menor despiste para distribuir sus amenazas y esta oleada es una clara prueba. Utilizan conexiones RDP que no están protegidas de la forma adecuada para que un ataque de fuerza bruta sea más que suficiente para provocar que el troyano sysscan, considerado una puerta trasera, llegue al sistema.

Este tipo de software principalmente permite el acceso y el control remoto del equipo sin que su propietario sea consciente. Pero las funciones no solo se limitan a esto, ya que los propietarios pueden introducir otras que se encarguen de recopilar información existente o bien instalar otras amenazas y así completar la funcionalidad de una forma mucho más sencilla.

La utilización de los puertos que rofman parte del protocolo RDP no siempre es la correcta, al igual que sucede con otros sistemas de comunicación o control de dispositivos, como por ejemplo, FTP, SSH o TELNET. La utilización de credenciales de acceso obvios permiten que los ciberdelincuentes creen scripts que analicen estos puertos en busca de irregularidades y así conseguir acceso de una forma relativamente sencilla y que muchas veces es culpa de los propios usuarios o administradores del sistema.

Desde Guardicore indican que la puerta trasera que no ocupa está programada en Delphi y posee funciones que permiten la recopilación de datos, sobre todo contraseñas e información relacionada con el uso que se da a los navegadores web existentes.

bayrob-puerta-trasera-afecta-usuarios

La puerta trasera sysscan crea una cuenta de administrador

Hay que decir que solo afecta a equipos con sistema operativo Windows aunque sobre el papel sería capaz de infectar a cualquier equipo, ya que el que un puerto esté abierto o protegido con unas credenciales no adecuadas es algo que se puede dar incluso en Linux. Sin embargo, la aplicación que se distribuye es un .exe, lo que permite acotar y mucho los sistemas operativos afectados.

Con respecto a en qué países se ha detectado su distribución, todo parece indicar que los ciberdleincuentes están distribuyendo esta amenaza en Alemania, Reino Unido y Francia, pudiendo extenderla en los próximos días a otros países.

Teniendo en cuenta que se trata de un rastreo en busca de puertos corregidos de forma incorrecta, no es para nada extraño que se vea en otros, ya que no requiere de páginas web ni tiendas de aplicaciones para perpetrar el ataque, aunque sí que es verdad que existe un servidor de control que todavía no se ha localizado.

Fuente: https://www.redeszone.net