Threat Database Backdoors Puerta trasera Giddome

Puerta trasera Giddome

La amenaza Giddome Backdoor es un elemento básico en el arsenal dañino de una organización ciberdelincuente rastreada bajo los nombres de Shuckworm, Gamaredon y Armageddon. La amenaza de malware se despliega contra objetivos en Ucrania, comportamiento consistente con las actividades anteriores del grupo de piratas informáticos.

La operación de ataque logró el acceso inicial a los dispositivos de las víctimas a través de mensajes de phishing que entregaron un archivo de almacenamiento 7-Zip autoextraíble, que obtuvo un archivo XML de un subdominio asociado con Shuckworm. Alternativamente, los actores de amenazas utilizaron descargadores de VBS para obtener las cargas útiles amenazantes. Además de Giddome Backdoor, los ciberdelincuentes implementaron variantes de la amenaza de puerta trasera Pterodo , así como varias variantes de un ladrón de información de PowerShell. Los detalles sobre estas amenazas y la operación de ataque se dieron a conocer al público en un informe elaborado por investigadores de malware.

Una vez activado en el dispositivo de la víctima, se le puede indicar a Giddome que tome el control del micrófono y realice grabaciones de audio. Los archivos creados luego se cargarían en una ubicación remota controlada por los atacantes. La amenaza también es capaz de tomar capturas de pantalla arbitrarias y cargarlas también. Para obtener información confidencial, Giddome puede establecer rutinas de registro de teclas en el dispositivo, capturando las entradas de las víctimas. Además, la puerta trasera se puede usar para obtener archivos .exe y .dll y ejecutarlos/cargarlos en los dispositivos violados, lo que brinda a los atacantes la capacidad de entregar cargas útiles adicionales.

Se cree que el grupo de ciberdelincuentes Shuckworm está estrechamente conectado con Rusia, si no forma parte de la Fuerza de Seguridad Federal (FSB) del país. Las actividades atribuidas a Shuckworm se remontan a 2014 y las operaciones de ataque se dirigieron constantemente a entidades ucranianas públicas y privadas clave. Desde la invasión rusa de Ucrania, los piratas informáticos se han vuelto aún más activos lanzando ataques de phishing y desplegando nuevas variedades y variantes de malware.

Tendencias

Mas Visto

Cargando...