Inicio de zonavirus, antivirus

Plataforma de ataque del grupo Winnti basada en malware de hace 10 años que utiliza una copia de VMProtect

msc hotline sat
Thursday, October 8, 2015

Expertos de Kaspersky Lab han dado seguimiento a la actividad del grupo Winnti y han descubierto una amenaza activa basada en el instalador de un bootkit de 2006.



http://securityaffairs.co/wordpress/wp-content/uploads/2013/04/Cyber-espionage-726x400.jpg" border="0" hspace="10" vspace="10"/>





La amenaza es llamada HDRoot debido a HDD Rootkit, el nombre original de la herramienta, es una plataforma universal ideal para la presencia sostenible y persistente dentro de un sistema objetivo, que puede ser utilizado como un punto de apoyo para cualquier herramienta arbitraria.



La organización criminal Winnti es conocida por las campañas de ciberespionaje industrial dirigidas a empresas de software, especialmente a la industria del juego. Recientemente se han observado también objetivos en las empresas farmacéuticas.



HDRoot fue descubierto cuando una muestra de malware despertó el interés de los investigadores por las siguientes razones:



Se protege con una copia comercial ejecutable de VMProtect Win64 firmado con un certificado comprometido que pertenece a la entidad china Guangzhou YuanLuo Technology; un certificado que se sabía era utilizado por el grupo para firmar otras herramientas.



Las propiedades y el texto de salida del ejecutable fue modificado para simular un comando net.exe de un Microsoft Net con el fin de reducir el riesgo de exponer el programa ante los administradores de sistemas.



?En conjunto, estas características hicieron que la muestra se viera esencialmente sospechosa. Un análisis posterior mostró que el bootkit HDRoot es una plataforma universal para la permanencia sostenible y persistente en un sistema, y puede ser utilizado para iniciar cualquier otra herramienta.



Los investigadores fueron capaces de identificar dos tipos de puertas traseras abiertas con la ayuda de esta plataforma, aunque podría haber más. Una de estas puertas traseras fue capaz de pasar por alto productos antivirus bien establecidos en Corea del Sur: AhnLab’s V3 Lite, AhnLab’s V3 365 Clinic y ESTsoft's ALYac. El grupo Winnti podría haber utilizado el programa para lanzar malware dirigido a equipos en Corea del Sur.



Según los datos de Kaspersky Security Network, Corea del Sur es la principal área de interés en el sudeste asiático para el grupo Winnti, aunque hay otros objetivos en esta región, entre ellos organizaciones en Japón, China, Bangladesh e Indonesia. Kaspersky Lab también ha detectado infecciones HDRoot en una empresa del Reino Unido y en una de Rusia, ambas habían sido blancos previos de Winnti.





Ver información original al respecto en Fuente:

http://www.seguridad.unam.mx/noticia/?noti=2534

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto