Expertos en seguridad han detectado dos troyanos que tienen cierta relación con Duuzer y que se conocen con el nombre de Brambul y Joanap.
Según han informado, los dos malware se están
distribuyendo de forma conjunta y a pesar de haber indicado con anterioridad de
que nos encontramos ante dos troyanos, todo parece indicar según las
características del segundo que se trata de una puerta trasera que permite a su
propietario disponer del control del equipo infectado y así llevar a cabo una
recopilación de los datos contenidos en las unidades de almacenamiento.
No se sabe a ciencia cierta cuál es la forma de
distribución de ambos, aunque se cree que se produce gracias a correos
electrónicos con un archivo adjunto que es el instalador de estos.
Brambul utiliza la fuerza bruta para iniciar sesión
en el servicio SMB y así distribuirse a otros equipos gracias a este servicio.
Una vez ha infectado un equipo se loguea dentro de una dirección Ip al azar que
tenga habilitado este servicio gracias a la utilización de un diccionario con
las credenciales de acceso más comunes entre los usuarios (es decir, las más
inseguras).
Y sin embargo, ¿cuál es el vínculo entre estos dos
y Duuzer?
Podría decirse que Brambul y Joanap van de la mano,
ya que una vez uno se ha instalado realiza la descarga de otro material
malware, que en la mayoría de las ocasiones puede ser la segunda o bien Duuzer,
una puerta trasera de la que ya hemos hablado en el día de hoy y que permite el
control del equipo infectado y el robo de información de los usuarios del
equipo.
En el caso de que sea Joanap el descargado e
instalado, se registra en el sistema operativo un proceso con el nombre de
“SmartCard”, permitiendo al troyano la apertura de una puerta trasera en el
equipo, permitiendo realizar:
·
Envío de
archivos específicos.
·
Guardar o
eliminar archivos.
·
Descargar
archivos ejecutables.
·
Ejecutar
procesos
·
Enviar o
recibir comandos del servidor de control.
Las recomendaciones de los expertos en seguridad se
basan en esta ocasión en proteger los servicios SMB utilizando contraseñas
seguras y que no se encuentren en otros servicios de Internet. Además, indican
que el uso de un firewall puede evitar que los troyanos y puertas traseras
puedan recibir y enviar información, siendo necesaria una herramienta antivirus
si queremos evitar su instalación en el sistema.
Fuente: The Hacker News