Los ciberdelincuentes ponen toda la
carne en el asador para conseguir acceder a los equipos y conseguir el robo de
información. Turla ha sido uno de los malware que más han sonado en los últimos
meses, sobre todo entre instituciones de todo el mundo. Desde ESET han querido
desgranar una de las claves de este virus informático, escogiendo la puerta
trasera Carbon.
La gran ventaja con la que cuenta esta
amenaza es que posee la posibilidad de mutar sus vectores de ataque cuando son
descubiertos e ineficaces ante herramientas de seguridad. Ni que decir que sus
objetivos son equipos con sistema operativo Windows. Se detectó por primera vez
hace tres años. Desde entonces, se han localizado hasta 8 variantes de la puerta
trasera que nos ocupa en este artículo.
Carbon no posee una finalidad
legítima, de ahí que sea noticia desde hace tiempo. En primer lugar, hay que
decir que esta pieza de software se distribuye a través de correo electrónicos.
Es decir, el usuario descarga un archivo adjunto y realiza su ejecución. Para
enviar el mensaje se utilizan por norma general cuentas de correo electrónico
que se han visto comprometidas. También s ehan localizado variantes en las que
el archivo se distribuye a través de páginas web donde las cuentas del CMS se
han visto comprometidas.
Una vez ejecutado el archivo comienza
la instalación de software en el equipo.
Carbon y otros
softwares distribuidos
- Taydig o Skipper son dos de las puertas traseras más conocidas que contribuyen junto con Carbon a que el ciberdelincuente disponga de acceso remoto. Esto permitirá a los ciberdelincuentes instalar cualquier software a posteriori y sin que el usuario se percate de lo que está sucediendo en el equipo.
- La arquitectura de Carbon es bastante sencilla. Tal y como apuntan desde ESET consiste en un dropper que se encarga de instalar otros softwares no deseados en el equipo. No es la primera vez que hablamos de este tipo de amenazas, pero sí que es cierto que esta es la más longeva.
- Lo realmente importante y que hay que tener en cuenta es que una vez infectado el equipo comprueba si existe alguna oportunidad para extenderse a otros vía red. Lo que queremos decir es que realiza un análisis de las IPs disponibles de forma local y trata de realizar su volcado a través de Samba.
- Su peligro radica en que las variantes son muchas y no todas las herramientas de seguridad son capaces de detectar la amenaza antes de que haya infectado el equipo. Por este motivo se pide máxima precaución al acceder a mensajes de correo electrónico con archivos adjuntos.
- Los daños provocados en equipos informáticos de instituciones han sido cuantiosos. Parece que por el momento no despiertan mucho interés los equipos domésticos.
Fuente: Resdezone.net
