Un equipo de expertos de seguridad han descubierto una nueva generación de malware que se crea por el grupo de hackers Turla y se llama el Reductor de Troya. De acuerdo con la investigación disponible es un sucesor para el malware COMpfun liberado ya que inicialmente se informó acerca de vuelta en 2014. Las campañas activas que lo llevan parecen estar en contra objetivos situados en Belarús y Rusia.
Reductor de Troya es el malware peligroso más reciente según la Turla hackers
El grupo de hackers Turla es un grupo experimentado que ha ideado una nueva y peligrosa amenaza conocido como el Reductor de Troya. También se distribuye por una técnica completamente nueva.
El módulo de software malicioso se cree que pasar por un nuevo enfoque que no es el hombre-en-el-medio clásico de ataque que es típico de estos casos. En cambio, el software malicioso se instale certificados de seguridad en los navegadores web lo que permite a los atacantes remotos secuestrar sesiones seguras e información privada. El método likey que se ha sido utilizado por los atacantes es la distribución de instaladores de aplicaciones infectados con malware de los navegadores web. Un lugar probabilidades de encontrarlos es a subirlos a “warez” sitios - sitios de sombra que presentan aplicaciones piratas y datos que son generalmente operados por los hackers o estafadores. Hay dos escenarios probables en este caso:
- Los instaladores de imitación - Los hackers pueden hacerse pasar los paquetes de configuración legítimos de los navegadores más populares - las más populares son Mozilla Firefox y Google Chrome.
- Los instaladores de la aplicación modificados & Versiones personalizados - Los piratas informáticos pueden crear “actualizado” o “optimizado” versiones de los navegadores web comunes y presentarlos en los sitios falsos. La otra técnica es la creación de nuevos navegadores que son falsas las versiones de las aplicaciones más populares que cuentan con el código del virus simplemente Rebranded.
En cualquier momento las técnicas de distribución pueden cambiar a otros métodos: el uso de redes de intercambio de archivos y la inclusión de enlaces a las páginas de malware a través de mensajes de correo electrónico y perfiles de redes sociales que se cortó o falso, ya sea.
El troyano Reductor y sus capacidades
Tan pronto como el Reductor de Troya se implementa en un sistema dado se pondrá en marcha su motor principal. Se conectará a un servidor pirata informático controlado que permite a los hackers tomar el control de los anfitriones, robar sus archivos y también instalar otras amenazas.
Lo que es peligroso es el hecho de que el troyano será capaz de secuestrar todo el tráfico sensible y seguro que fluye de los usuarios a páginas de Internet y viceversa. Haciendo funcionar el motor correspondiente a los criminales pueden realizar una variedad de acciones peligrosas. Las muestras capturadas se han encontrado para permitir que el siguiente:
- hostinfo - Este comando recuperará el nombre de host del ordenador
- gettimeout - Esto recuperará el valor de tiempo de espera del registro de Windows
- domainlist - Este transmitirá el utilizado actualmente C&dominio del servidor C
- downfile - Esto descargará un archivo dado desde el ordenador infectado
- upfile - Esto cargar un archivo en el equipo contaminado
- opciones - Permite a los piratas informáticos para editar ciertos valores en el registro de Windows
- execfile - Esto ejecutará un archivo determinado en el host remoto
- nop - Idle
- matar - Esto eliminará todos los archivos y datos que están asociados con el Reductor de Troya. Esto incluye los certificados digitales, archivos, Galletas, Los valores del registro de Windows y los módulos relacionados
- borrar archivo - Esto eliminará un archivo en un lugar determinado
- certlist - Esto va a renovar los certificados digitales del malware instalado
Además de que el motor principal del troyano en sí los hackers probablemente permitirá módulos comunes, incluyendo la instalación persistente uno. Será editar las opciones de configuración de arranque permitiendo así que el motor principal para iniciar tan pronto como el sistema operativo se inicie. En muchos casos esto también desactivará el acceso a las opciones de arranque de recuperación. El hecho de que los piratas informáticos se dirigen el tráfico seguro nos da razones para creer que el grupo de hackers está probablemente tratando de robar las sesiones de banca en línea. Sin embargo, otros escenarios son también susceptibles de ser utilizados por el robo de datos sensibles, como la vigilancia bien de objetivos de alto perfil.