Torisma, el spyware utilizado por ciberdelincuentes norcoreanos

Un reciente estudio llevado a cabo por los investigadores de McAfee Christiaan Beek y Ryan Sherstobitoff desvela un hasta ahora desconocido spyware empleado en los pasados ataques de julio contra la industria aeroespacial y de defensa, bajo el nombre de «Operation North Star«.

En la pasada campaña de julio, el equipo de McAfee descubrió una serie de archivos infectados con malware que contenían ofertas de trabajo de los principales contratistas de defensa y de la industria aeroespacial de Rusia e India. Uno de los propósitos de dicho malware era la recopilación de datos sensibles de la máquina de la victima, para una posterior clasificación de dichos datos en función de su valor.

Ahora, gracias el hallazgo de los investigadores, se ha descubierto que los atacantes tambíen instalaban un spyware denominado «Torisma» para el continuo monitoreo de la actividad de la víctima.


Diagrama de flujo del ataque

Los atacantes alojaron los servidores de comando y control (C2) en sitios web legítimos de EE.UU e Italia, lo que les permitió eludir las medidas de seguridad de las organizaciones, ya que no suelen bloquear webs confiables.

El implante de primera etapa se encargaría de monitorizar continuamente los datos de la máquina de la víctima: (IP, fecha, User-Agent…), y no sería hasta un posterior análisis de dichos datos, cuando se tomaría la decisión de infectar a la víctima con el spyware «Torisma» para un posterior seguimiento con mayor profundidad, como ejecuciones de shellcode personalizado y monitorización de conexiones de escritorio remoto.

 

 

to en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies