News

El cargador de TDSS ya tiene “piernas”

El cargador de TDSS ya tiene “piernas”
Sergey Golovanov
Kaspersky Lab Expert
Posted June 03, 14:40 GMT
Tags: Social Engineering, Rootkits, x64, DNS
0.4

El cargador de TDSS, un programa malicioso sobre el que hemos escrito muchas veces (como aquí y aquí), ya tiene piernas propias, o un mecanismo de autopropagación. TDSS es un programa muy complejo, y los cibercriminales han creado un ingenioso mecanismo de propagación para su cargador.

El cargador de TDSS se llama Net-Worm.Win32.Rorpian, y utiliza dos métodos para propagar su código:

  1. Mediante dispositivos portátiles
  2. Por medio de una red de área local (LAN)

Cuando se propaga mediante dispositivos portátiles, el gusano crea los archivos setup.Ink, myporno.avi.Ink y pornmovs.Ink, además de autorun.inf. Estos archivos son atajos para llegar al archivo rundll32.exe, con parámetros que dirigen al DLL del gusano. Esta es una técnica estándar que muchos programas maliciosos emplean.

Cuando se propaga por medio de una conexión de área local, el gusano utiliza la siguiente técnica: Cuando infecta un ordenador, el gusano revisa si se utiliza un servidor DHCP en la red. Si el ordenador de la víctima se encuentra en una red que utiliza el protocolo DHCP, el gusano comienza a analizarla en busca de direcciones IP disponibles. Después, el gusano lanza su propio servidor DHCP y comienza a vigilar la red. Si detecta una solicitud DHCP de algún ordenador de la red local, el gusano trata de ser el primero en responderle y le envía los siguientes datos:

  1. Una dirección IP de la lista de IPs disponibles.
  2. La puerta de enlace principal del ordenador infectado.
  3. La dirección del servidor DNS malicioso del cibercriminal.


Después de estas operaciones, se redirige al usuario al servidor malicioso cada vez que intente visitar cualquier sitio web, y se le pide que actualice su navegador.

Fragmento del código de Net-Worm.Win32.Rorpian, que funciona con el protocolo DHCP.

El usuario no podrá visitar los sitios web hasta que instale las “actualizaciones”. Si lo hace, el gusano descarga una modificación de Net-Worm.Win32.Rorpian. Después de infectar su ordenador, cambia la configuración de DNS a una dirección de Google Server y permite que el usuario siga navegando.

Captura de pantalla del sitio malicioso desde donde se propaga el gusano.

En otras palabras, Net-Worm.Win3.Rorpian, el cargador de TDSS, uno de los programas maliciosos más avanzados y sofisticados, explota la vulnerabilidad más peligrosa de todas: el usuario.

P.D. Muchas gracias a Evgeny Aseev por ayudarme a preparar esta entrada.

El cargador de TDSS ya tiene “piernas”

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada