4 de noviembre de 2015

BRAMBUL Y JOANAP.Los troyanos vinculados a la puerta trasera Duuzer

Expertos en seguridad han detectado dos troyanos que tienen cierta relación con Duuzer y que se conocen con el nombre de Brambul y Joanap.
Según han informado, los dos malware se están distribuyendo de forma conjunta y a pesar de haber indicado con anterioridad de que nos encontramos ante dos troyanos, todo parece indicar según las características del segundo que se trata de una puerta trasera que permite a su propietario disponer del control del equipo infectado y así llevar a cabo una recopilación de los datos contenidos en las unidades de almacenamiento.
No se sabe a ciencia cierta cuál es la forma de distribución de ambos, aunque se cree que se produce gracias a correos electrónicos con un archivo adjunto que es el instalador de estos.
Brambul utiliza la fuerza bruta para iniciar sesión en el servicio SMB y así distribuirse a otros equipos gracias a este servicio. Una vez ha infectado un equipo se loguea dentro de una dirección Ip al azar que tenga habilitado este servicio gracias a la utilización de un diccionario con las credenciales de acceso más comunes entre los usuarios (es decir, las más inseguras).
Y sin embargo, ¿cuál es el vínculo entre estos dos y Duuzer?
Podría decirse que Brambul y Joanap van de la mano, ya que una vez uno se ha instalado realiza la descarga de otro material malware, que en la mayoría de las ocasiones puede ser la segunda o bien Duuzer, una puerta trasera de la que ya hemos hablado en el día de hoy y que permite el control del equipo infectado y el robo de información de los usuarios del equipo.
En el caso de que sea Joanap el descargado e instalado, se registra en el sistema operativo un proceso con el nombre de “SmartCard”, permitiendo al troyano la apertura de una puerta trasera en el equipo, permitiendo realizar:
·         Envío de archivos específicos.
·         Guardar o eliminar archivos.
·         Descargar archivos ejecutables.
·         Ejecutar procesos
·         Enviar o recibir comandos del servidor de control.
Las recomendaciones de los expertos en seguridad se basan en esta ocasión en proteger los servicios SMB utilizando contraseñas seguras y que no se encuentren en otros servicios de Internet. Además, indican que el uso de un firewall puede evitar que los troyanos y puertas traseras puedan recibir y enviar información, siendo necesaria una herramienta antivirus si queremos evitar su instalación en el sistema.
Fuente: The Hacker News