Clicky

El gobierno de EE. UU. advierte sobre una nueva cepa del virus chino 'Taidoor'

RAT Taidoor

Taidoor viene con características que le permiten recopilar datos del sistema de archivos

Las agencias de inteligencia de los EE. UU. han publicado información sobre una nueva variante del virus informático de 12 años utilizado por los piratas informáticos patrocinados por el estado de China que apuntan a gobiernos, corporaciones y grupos de expertos.

Llamado "Taidoor", el malware ha hecho un trabajo "excelente" de comprometer los sistemas ya en 2008, con los actores desplegándolo en redes de víctimas para sigiloso acceso remoto.

"El FBI tiene una gran confianza en que los actores del gobierno chino están utilizando variantes de malware junto con servidores proxy para mantener una presencia en las redes de las víctimas y para una mayor explotación de la red", dijeron en un aviso conjunto la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), la Oficina Federal de Investigaciones (FBI) y el Departamento de Defensa (DoD).

El Comando Cibernético de EE. UU. (CISA) también ha subido cuatro muestras del Taidoor RAT en el repositorio público de malware VirusTotal para permitir que más de 50 compañías de antivirus verifiquen la participación del virus en otras campañas no atribuidas.

Sin embargo, el malware en sí no es nuevo. En un análisis [PDF] realizado por investigadores de Trend Micro en 2012, se descubrió que los actores detrás de Taidoor aprovechaban los correos electrónicos de ingeniería social con archivos adjuntos PDF maliciosos para atacar al gobierno taiwanés.

Llamándolo una "amenaza constante y en constante evolución", FireEye notó cambios significativos en sus tácticas en 2013, en donde "los archivos adjuntos de correo electrónico malicioso no soltaron el malware Taidoor directamente, sino que dejaron caer un 'descargador' que luego tomó el malware Taidoor tradicional de la Internet".

Luego, el año pasado, NTT Security descubrió [PDF] evidencia de la puerta trasera utilizada contra organizaciones japonesas a través de documentos de Microsoft Word. Cuando se abre, ejecuta el malware para establecer comunicación con un servidor controlado por un atacante y ejecutar comandos arbitrarios.

Según el último aviso, no ha cambiado esta técnica de utilizar documentos señuelo que contienen contenido malicioso adjunto a correos electrónicos de phishing.

"Taidoor se instala en el sistema de un objetivo como una biblioteca de enlaces dinámicos (DLL) de servicio y se compone de dos archivos", dijeron las agencias. "El primer archivo es un cargador, que se inicia como un servicio. El cargador (ml.dll) descifra el segundo archivo (svchost.dll) y lo ejecuta en la memoria, que es el principal troyano de acceso remoto (RAT)".

Además de ejecutar comandos remotos, Taidoor viene con características que le permiten recopilar datos del sistema de archivos, realizar capturas de pantalla y llevar a cabo las operaciones de archivo necesarias para filtrar la información recopilada.

CISA recomienda que los usuarios y administradores mantengan actualizados sus parches del sistema operativo, deshabiliten los servicios para compartir archivos e impresoras, apliquen una política de contraseña segura y sean cautelosos al abrir archivos adjuntos de correo electrónico.

Puede encontrar la lista completa de las mejores prácticas aquí (en inglés).

Jesus_Caceres