Las agencias de inteligencia de los EE. UU. han publicado información sobre una nueva variante de un virus informático de 12 años de antigüedad utilizado por piratas informáticos patrocinados por el estado de China que apuntan a gobiernos, corporaciones y grupos de expertos.
Llamado «Taidoor,«El malware ha hecho un trabajo ‘excelente’ al comprometer los sistemas ya en 2008, y los actores lo implementaron en las redes de las víctimas para un acceso remoto sigiloso.
«[The] El FBI tiene mucha confianza en que los actores del gobierno chino están utilizando variantes de malware junto con servidores proxy para mantener una presencia en las redes de las víctimas y para una mayor explotación de la red, «la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Oficina Federal de Investigaciones (FBI) , y el Departamento de Defensa (DoD) dijeron en un aviso conjunto.
El Comando Cibernético de EE. UU. también ha subido cuatro muestras de Taidoor RAT en el repositorio público de malware VirusTotal para permitir que más de 50 empresas antivirus verifiquen la participación del virus en otras campañas no atribuidas.
Sin embargo, el malware en sí no es nuevo. En un análisis realizado por investigadores de Trend Micro en 2012, se descubrió que los actores detrás de Taidoor aprovechaban los correos electrónicos de ingeniería social con archivos adjuntos en PDF maliciosos para atacar al gobierno taiwanés.
Al llamarlo una «amenaza persistente y en constante evolución», FireEye notó cambios significativos en sus tácticas en 2013, donde «los archivos adjuntos de correo electrónico malicioso no soltaron el malware Taidoor directamente, sino que soltaron un ‘descargador’ que luego tomó el malware Taidoor tradicional de La Internet. «
Luego, el año pasado, NTT Security descubrió evidencia del uso de la puerta trasera contra organizaciones japonesas a través de documentos de Microsoft Word. Cuando se abre, ejecuta el malware para establecer comunicación con un servidor controlado por el atacante y ejecutar comandos arbitrarios.
Según el último aviso, esta técnica de usar documentos señuelo que contienen contenido malicioso adjunto a correos electrónicos de phishing no ha cambiado.
«Taidoor se instala en el sistema de un objetivo como una biblioteca de enlace dinámico (DLL) de servicio y se compone de dos archivos», dijeron las agencias. «El primer archivo es un cargador, que se inicia como un servicio. El cargador (ml.dll) descifra el segundo archivo (svchost.dll) y lo ejecuta en la memoria, que es el principal troyano de acceso remoto (RAT)».
Además de ejecutar comandos remotos, Taidoor viene con funciones que le permiten recopilar datos del sistema de archivos, capturar capturas de pantalla y realizar las operaciones de archivo necesarias para exfiltrar la información recopilada.
CISA recomienda que los usuarios y administradores mantengan actualizados los parches de su sistema operativo, deshabiliten los servicios de uso compartido de archivos e impresoras, apliquen una política de contraseña segura y tengan cuidado al abrir archivos adjuntos de correo electrónico.
Puede encontrar la lista completa de mejores prácticas aquí.
