Trend Micro ha propagado un gusano de Windows que se propaga a través de unidades extraíbles y ha difundido el troyano BLADABINDI con funciones de puerta trasera , DDoS y RAT
El troyano BLADABINDI se ha utilizado en múltiples campañas de ciberespionaje debido a la alta adaptabilidad que permite a los malos actores adaptarlo a objetivos específicos, ya que puede utilizarse como puerta trasera, para realizar ataques DDoS cuando se usa como una red de bots y para filtrar usuarios. Información utilizando su módulo keylogger.
Trend Micro descubrió una nueva campaña de malware que supuestamente usa un gusano de Windows para que la compañía de seguridad apodara Worm.Win32.BLADABINDI.AA para instalar una versión sin archivos del backdoor BLADABINDI.
BLADABINDI utiliza el lenguaje de secuencias de comandos Autoit para compilar tanto su secuencia de comandos dropper como la carga útil que deja caer en las máquinas comprometidas mientras usa el empaquetado UPX para ofuscarse, lo que hace que la detección sea mucho más difícil.
Una vez que el troyano llegue a un nuevo sistema, buscará y eliminará los binarios de Tr.exe de la carpeta temporal e instalará su versión, mientras se asegura de que persista al copiarse en la carpeta de Inicio de Windows y crear una entrada de registro AdobeMX que utiliza carga reflexiva para cargar el malware desde la memoria.
Esta variante de BLADABINDI utiliza múltiples técnicas para lograr la persistencia
Al cargar el malware desde la memoria del sistema, BLADABINDI es un malware sin archivos que le permite pasar desapercibido por las soluciones antimalware que solo analizan las unidades del sistema.
"Dado que el archivo ejecutable se carga directamente desde el registro a la memoria de PowerShell, pudimos volcar la dirección específica donde se encuentra el archivo ejecutable malicioso", dijo Trend Micro en su análisis. "Y descubrimos que está compilado en .NET, que utiliza un software comercial de protección de códigos para la ofuscación".
Esta variedad BLADABINDI viene con múltiples herramientas de puerta trasera desde el registro de teclas y el robo de credenciales de los navegadores web para recuperar y ejecutar archivos.
El hecho de que esta variante BLADABINDI use unidades extraíbles para propagarse hace que sea especialmente peligroso para las empresas y los usuarios que utilizan dichos dispositivos para compartir documentos.
"Restrinja y asegure el uso de medios extraíbles o funciones USB, o herramientas como PowerShell (particularmente en sistemas con datos confidenciales), y supervise de forma proactiva la puerta de enlace, los puntos finales, las redes y los servidores para detectar comportamientos anómalos e indicadores como la comunicación de C&C y el robo de información. , "aconseja Trend Micro.
Fecha actualización el 2021-11-28. Fecha publicación el 2018-11-28. Categoría: troyano Autor: Oscar olg Mapa del sitio Fuente: softpedia