Casa > Ciber Noticias > El troyano TrickBot Linux continúa atacando redes
CYBER NOTICIAS

El troyano TrickBot Linux continúa atacando redes

Se hizo un esfuerzo conjunto para cerrar la infraestructura maliciosa utilizada para lanzar ataques de malware TrickBot, sin embargo, aunque este intento fue exitoso, los hallazgos recientes descubrieron que las versiones de Linux continúan atacando a los hosts. Se ha descubierto que la variante de Linux está activa en varias campañas que continúan con las intenciones del virus.. TrickBot está ampliamente considerado como uno de los programas maliciosos más peligrosos de los últimos años..




La versión de TrickBot Linux continúa atacando las redes

A pesar de principal infraestructura criminal de TrickBot fue desactivado por un colectivo de expertos en seguridad en los últimos tiempos, la empresa de ciberseguridad Netscout informa que los esfuerzos se han trasladado a la versión Linux del malware. Esto significa que el grupo de desarrollo principal ha transferido sus esfuerzos a otro grupo de máquinas que se establecen como el nuevo objetivo.. Este malware en particular inició su infección en 2016 apuntando principalmente a computadoras con Windows. A lo largo de los años, se han utilizado varios grupos de piratería para modificar la base del código y agregar diferentes módulos.. Esto ha llevado a varias empresas de seguridad e investigadores a crear defensas proactivas contra las intrusiones en curso..

Durante las últimas semanas, un grupo conjunto entre el Comando Cibernético de EE. UU. y Microsoft pudo eliminar una gran parte de los servidores controlados por piratas informáticos. Esto casi erradicó la amenaza y remedió muchos ataques en curso que fueron detenidos.. Sin embargo, esto no detuvo las infecciones por completo. Un grupo de investigación de una empresa llamada Netscout informó que los nuevos hallazgos en torno al resurgimiento de Trickbot en su variante de Linux. Al parecer,, Los grupos de piratas informáticos han transferido sus esfuerzos a desarrollar esta parte del malware en lugar de la de Windows..

Esto es evidente en un desarrollo reciente llamado Ancla que fue creado al final de 2019 que se clasifica como un marco de puerta trasera basado en TrickBot. Una de sus características distintivas es que se basa en el protocolo DNS para comunicarse con los servidores designados por piratas informáticos de una manera que es difícil de rastrear.. Esto hace que la detección de virus sea muy difícil.. Usando este nuevo marco, las infecciones creadas permitirán un mayor abuso ya que los ataques en curso son difíciles de detectar y mitigar..

En la última actualización de Anchor, la base de código se ha movido a Linux lo que demuestra que las intenciones de los piratas informáticos son centrarse en esta plataforma. Las muestras capturadas muestran que un nuevo se implementa la secuencia de infección:

  • La infección inicial — Mediante el uso de diferentes tácticas de distribución de malware, el marco Anchor TrickBot se implementará en el host de destino.. Una vez hecho esto, se iniciará el código de ejecución correspondiente..
  • Instalación persistente — Al insertarse como un trabajo cron, el virus se instalará como un componente del sistema.. Dependiendo de la configuración, esto puede omitir ciertas características de seguridad., se inicia automáticamente cuando la computadora está encendida, y puede cambiar importantes valores de configuración.
  • Recopilación de información — El análisis del código muestra que el motor revelará la dirección IP pública de las computadoras infectadas y la transmitirá a los piratas informáticos.. Un cambio en esta sección de la configuración de malware puede incluir otros datos que se van a secuestrar: archivos de usuario personal, Datos de la aplicación, y valores del sistema operativo.
  • Conexión al servidor — La fase final es la conexión real al servidor controlado por piratas informáticos.. Esto permite a los piratas informáticos apoderarse completamente de las máquinas., espiar a las víctimas, y acceder a sus datos.

La investigación sobre la campaña de piratería continúa. Esperamos que pronto estas infecciones también se puedan detener eficazmente.

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo