Los ciberdelincuentes ponen toda la carne en el asador para conseguir acceder a los equipos y conseguir el robo de información. Turla ha sido uno de los malware que más han sonado en los últimos meses, sobre todo entre instituciones de todo el mundo. Desde ESET han querido desgranar una de las claves de este virus informático, escogiendo la puerta trasera Carbon.
La gran ventaja con la que cuenta esta amenaza es que posee la posibilidad de mutar sus vectores de ataque cuando son descubiertos e ineficaces ante herramientas de seguridad. Ni que decir que sus objetivos son equipos con sistema operativo Windows. Se detectó por primera vez hace tres año. Desde entonces, se han localizado hasta 8 variantes de la puerta trasera que nos ocupa en este artículo.
Para todo aquel que no sepa qués es una puerta trasera dejamos una breve explicación. Se trata de un código que muchas veces forma parte de otro software mucho más grande y que permite evitar los sistemas de seguridad del equipo, permitiendo el acceso remoto al contenido y el control del mismo. Aunque se asocia a prácticas ilícitas, muchas veces permite llevar a cabo soporte de forma remota.
Carbon no posee una finalidad legítima, de ahí que sea noticia desde hace tiempo. En primer lugar, hay que decir que esta pieza de software se distribuye a través de correo electrónicos. Es decir, el usuario descarga un archivo adjunto y realiza su ejecución. Para enviar el mensaje se utilizan por norma general cuentas de correo electrónico que se han visto comprometidas. También s ehan localizado variantes en las que el archivo se distribuye a través de páginas web donde las cuentas del CMS se han visto comprometidas.
Carbon y otros softwares distribuidos
Taydig o Skipper son dos de las puertas traseras más conocidas que contribuyen junto con Carbon a que el ciberdelincuente disponga de acceso remoto. Esto permitirá a los ciberdelincuentes instalar cualquier software a posteriori y sin que el usuario se percate de lo que está sucediendo en el equipo.
La arquitectura de Carbon es bastante sencilla. Tal y como apuntan desde ESET consiste en un dropper que se encarga de instalar otros softwares no deseados en el equipo. No es la primera vez que hablamos de este tipo de amenazas, pero sí que es cierto que esta es la más longeva.
Peligro en la LAN
Lo realmente importante y que hay que tener en cuenta es que una vez infectado el equipo comprueba si existe alguna oportunidad para extenderse a otros vía red. Lo que queremos decir es que realiza un análisis de las IPs disponibles de forma local y trata de realizar su volcado a través de Samba.
Su peligro radica en que las variantes son muchas y no todas las herramientas de seguridad son capaces de detectar la amenaza antes de que haya infectado el equipo. Por este motivo se pide máxima precaución al acceder a mensajes de correo electrónico con archivos adjuntos.
Los daños provocados en equipos informáticos de instituciones han sido cuantiosos. Parece que por el momento no despiertan mucho interés los equipos domésticos.
Fuente: https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad