ATHENAGO TROYANO DE ACCESO REMOTO

Versión movil Fecha actualización el 2017-2-9. Fecha publicación el . Categoría: Troyano. Autor: Mapa del sitio Fuente: bleepingcomputer

AthenaGo utiliza servidores proxy Tor para redirigir el tráfico de los huéspedes infectados a los servidores ocultos en la red Tor.

Detectado por primera vez por los expertos de Cisco Talos, este nuevo RAT lleva el nombre de Athena, pero los investigadores se refieren a ella como AthenaGo, para no confundirlo con el malware Athena DDoS descubierto hace unos años.

En comparación con otras rats, los investigadores Cisco dicen que AthenaGo tiene algunas características propias. Primero y ante todo, Athena Go es el primer RAT escrito en el lenguaje de programación Go.

El único inconveniente, ya que los investigadores Cisco explican en un análisis técnico de AthenaGo, es que los binarios Go incluyen tienen poco detalles que ayudan a cabo los investigadores en la detección de las capacidades del software malicioso.

Cisco dice que AthenaGo se distribuye actualmente a través de los correos electrónicos de spam y sólo está apuntando a los usuarios en Portugal, como el tema de la atracción spam es un archivo de Word haciéndose pasar por un documento recibido de servicio postal principal de Portugal.

Al igual que con la mayoría del malware macro estos días, la apertura de este archivo permiten la secuencia de comandos de macro para ejecutar los resultados de la descarga y la instalación de la macro RAT AthenaGo.

Según Cisco, tanto el binario AthenaGo y los archivos de Word maliciosos parecen haber sido firmado con el mismo nombre de usuario, lo que significa que es probable que una persona está detrás de la creación y distribución de la AthenaGo.

Después de la infección inicial, el AthenaGo RAT pasa por una serie de procedimientos a través de la presentación de informes a su servidor de C & C, y más tarde solicitar una serie de comandos que tiene que ejecutar en cada PC infectado.

Cisco dice que AthenaGo sólo es compatible con seis comandos, pero son más que suficientes para hacer grandes daños, ya que cubren todas las operaciones básicas.

  • Listdir: Este comando devuelve una lista de directorios del sistema infectado.
  • ListProcesses: Devuelve una lista de procesos que se ejecutan en el sistema infectado.
  • KillProcess: Hace que el malware se ejecute el comando taskkill contra de un proceso objetivo que se ejecuta en el sistema infectado.
  • DownloadFile: Hace que el malware para descargar un archivo y guardarlo en un lugar de destino especificado en los parámetros de comando.
  • DLRUN: Este comando hace que el malware descargue un archivo, guardarlo en %TEMP% y ejecuta el archivo descargado.
  • Runcmd: Este comando utiliza OS paquete de Go / exec para ejecutar comandos del sistema en el sistema infectado.

Todas las comunicaciones con el servidor C & C se llevan a cabo a través del servicio tor2web.org, que es un sistema proxy que redirige el tráfico desde la Internet pública a la red Tor sin que los usuarios tener el paquete Tor instalado localmente.

Esto significa que AthenaGo no necesita descargar e instalar Tor en cada PC infectado, como variantes de malware anteriores que se basaban en Tor para ocultar sus servidores C & C.

El razonamiento detrás de usar Tor para ocultar servidores C & C es para salvaguardarlos de derribos aplicación de la ley. Esto significa que tendrán una ventana corta para operar hasta Tor2Web prohíbe la URL. Sin embargo, este enfoque tiene sus ventajas porque las empresas de seguridad deben tener siempre un ojo que todo viendo en las variantes AthenaGo e identificar la dirección URL del servidor C & C con el fin de solicitar su inclusión en listas negras.

Hasta ahora, los proxies Tor2Web han sido extremadamente populares entre los autores de ransomware, que prefieren para mostrar las URL Tor2Web junto enlaces .onion.

Si los usuarios no pueden instalar Tor Browser, los enlaces Tor2Web se pueden utilizar como alternativas URL y transmiten la víctima al lugar de pago de un rescate.


Comenta y comparte en Compartir en Google+
troyano de acceso remoto