En las últimas semanas la actividad de los ciberdelincuentes en lo que concierne a crear amenazas que afecten a distribuciones Linux ha aumentado y expertos en seguridad de la empresa Palo Alto Networks han detectado la presencia de una puerta trasera conocida con el nombre de Fysbis.
Los que han tenido contacto con la amenaza han querido puntualizar que la primera vez que se visualizó fue en el año 2014 pero en aquel momento no se la dio importancia. Es más, apuntan que desde ese año el número de infecciones es casi nulo y su actividad no ha sido para nada destacable. Pero tal y como sucede en algunas ocasiones, las amenazas pasan por al menos un periodo de letargo desde que ven la luz, para volver posteriormente con mayor fuerza y capacidad de difusión.
Los expertos creen de que antes de que saliera a la luz, por las características de la amenaza se debió de utilizar en algún departamento de seguridad para realizar labores de espionaje. Sin ir más lejos todo apunta que el software del que estamos hablando tenga un origen ruso (como la mayoría de las amenazas que nos encontramos en la actualidad en Internet).
En la actualidad, sus propietarios lo han reconvertido en una herramienta para distribuir adware, robar credenciales o incluso utilizar los equipos infectados para proceder al minado de criptomonedas.
Volviendo al tema de espionaje, desde la compañía Palo Alto creen que el grupo de hackers conocidos como Sofacy o Sednit, son los que en un primer momento se encontraron tras su desarrollo.
Fysbis puede trabajar con y sin derechos de administrador en el sistema
En la actualidad resulta bastante importante que las amenazas posean permisos de administrador, independientemente del sistema operativo del que hablemos. Esto permite a los ciberdelincuentes no solo conseguir un mayor control sobre el equipo, sino que además permite hacer muchas más tareas sin la necesidad de que el usuario intervenga.
El virus llega a través de ataques phishing o mediante ataques de fuerza bruta a puertos de red que puedan estar desprotegidos. Posee versión tanto de 32 bits como de 64 y una vez se ha realizado la instalación hace varias pruebas para comprobar cuál es el estado del sistema.
Una vez se han realizado las pruebas y se han enviado a un servidor remoto, comienza el proceso de recopilación de datos, tanto de teclado como archivos que se copian y que incluso pueden borrarse.
Para protegerse ante una amenaza de este tipo los expertos en seguridad recomiendan desconectar el equipo de Internet y posteriormente proceder a su eliminación.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad