Saitama puerta trasera

Los investigadores de ciberseguridad han descubierto una nueva amenaza de puerta trasera que se propaga a través de archivos adjuntos de correo electrónico armados. Denominada Saitama Backdoor, el propósito de la amenaza es establecer un punto de apoyo en el sistema objetivo y permitir que los atacantes amplíen aún más su alcance con las cargas útiles de la próxima etapa.

La amenaza Saitama Backdoor está escrita en .NET y explota el protocolo DNS, como medio de comunicación con sus servidores de comando y control (C2, C&C). Una vez implementada en el sistema, la amenaza puede reconocer y ejecutar más de 20 comandos entrantes de los atacantes. Los actores de amenazas pueden utilizar Saitama para recopilar información diversa del sistema, como la dirección IP y la versión del sistema operativo, así como detalles sobre el usuario actualmente activo, incluido su grupo y privilegios.

Sin embargo, la funcionalidad principal de Saitama es la capacidad de manipular el sistema de archivos en el dispositivo violado. La amenaza de malware puede seleccionar archivos elegidos y filtrarlos a los servidores C2. A la inversa, también puede obtener e implementar archivos adicionales en el sistema, incluidas más cargas útiles de malware. Según el objetivo específico de los atacantes, pueden enviar recopiladores de información más especializados, ransomware, criptomineros u otros tipos de malware al dispositivo de la víctima.