Algunas veces hemos informado de que los ciberdelincuentes buscan en algunas ocasiones rescatar antiguas amenazas para afectar a los usuarios y de esta forma romper un poco con la monotonía que está formado por los ransomware y los troyanos bancarios. Sin embargo, aquellos que han rescatado la puerta trasera Bayrob han llegado un poco lejos.
Decimos esto porque la amenaza llevaba desaparecida desde hace nueve años, algo que no ha entorpecido a los ciberdelincuentes para rescatarla y llevar a cabo una actualización importante de su código, añadiendo nuevas funciones. Y es que resulta algo más que necesario ya que en el año 2007 no existía la ingeniería social ni software que existe hoy en día, sobre todo si hablamos de amenazas informáticas. Aunque es ahora cuando los expertos en seguridad de varias compañías se han percatado de su presencia en Internet, la puerta trasera de está distribuyendo desde hace ya dos semanas.
La funcionalidad más importante es la configuración de un servidor proxy por el que debe pasar la información del usuario, método utilizado para llevar a cabo el robo de la información de una forma más sencilla. Al igual que la inmensa mayoría de las amenazas, afecta solo a equipos con sistema operativo Windows, desde el ya antiguo XP hasta el moderno Windows 10, tanto a versiones de 32 como de 64 bits.
En un principio se catalogó como un troyano, algo que se modificó a posteriori tras conocer las cualidades que este poseía y que en la actualidad se han visto mejoradas. En la actualidad la amenaza ejecuta varios procesos para garantizar de alguna forma su persistencia en el sistema.
Bayrob y el error al ejecutar el archivo en Windows
Actualmente se pueden encontrar dos variantes de esta puerta trasera. En primer lugar aquella que se empaqueta junto a otro código pata evitar de esta forma que el usuario pueda percatarse de que se trata de un archivo malicioso o bien la segunda, en la que nos encontramos ante un ejecutable que devuelve un aviso de error y a priori de incompatibilidad con el sistema operativo Windows, algo que no es así ya que la amenaza se está ejecutando en segundo plano.
Existencia de un servidor remoto
Al igual que otras amenazas, esta puerta trasera se vale de un servidor remoto del que recibe actualizaciones y nuevas funcionalidades, utilizado también para el envío de la información recopilada. También es conveniente añadir que las comunicaciones son cifradas por lo que resulta complicado por el momento determinar muchas información relacionada con la ubicación de este.
La mayoría de los antivirus detectan la existencia de este, por lo que una herramienta correctamente instalada debería detener el proceso de instalación de Bayrob de forma eficaz.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad