Licencias para múltiples dispositivos (descuentos por volumen)
Threat Database Backdoors Software malicioso RShell

Software malicioso RShell

Por Mezo en Backdoors
Traducir a:
Español

Se ha descubierto que los ciberdelincuentes chinos usan una versión armada de una aplicación de mensajería como una forma de implementar una amenaza de puerta trasera llamada RShell. La amenaza de puerta trasera tiene versiones para sistemas Linux y macOS. Los detalles sobre las operaciones de ataque y el malware RShell se publicaron en informes de investigadores de seguridad. Según ellos, RShell es parte del arsenal amenazador del grupo APT (Advanced Persistent Threat) rastreado como APT27 , LuckyMouse, IronTiger y Emissary Panda. Este grupo de ciberdelincuencia en particular ha estado activo durante más de una década y se centra principalmente en operaciones de ciberespionaje.

Los piratas informáticos utilizaron una versión troyana de la aplicación de mensajería electrónica 'MìMì' ('mimi' - 秘秘 - 'secret') que se anuncia como disponible para las plataformas Android, iOS, Windows y macOS. Los investigadores descubrieron una versión de Linux, que también entregaba el malware RShell. Cuando se activa la versión corrupta de macOS MiMi, primero verifica si el entorno coincide con los parámetros necesarios: macOS (Darwin). Luego, obtendrá una carga útil de RShell de su servidor de comando y control (C2, C&C), la escribirá en la carpeta temporal, le otorgará permiso de ejecución y finalmente la ejecutará.

El análisis de RShell ha revelado que es una amenaza de puerta trasera equipada con las características típicas asociadas con este tipo de malware. Las primeras muestras descubiertas por TrendMicro son de junio de 2021. RShell se entrega en formato Mach-O en sistemas macOS y ELF en plataformas Linux. Cuando se activa en el dispositivo de la víctima, la amenaza recopilará información diversa del sistema, incluido el nombre de la computadora, la dirección IP, el nombre de usuario, la versión, etc. Todos los datos recopilados se empaquetarán en un mensaje JSON binario y se transmitirán al servidor C2 sin cifrar. TCP. Los actores de amenazas APT pueden indicar a RShell que ejecute comandos en el shell, lea archivos, enumere los archivos y directorios en el sistema de archivos raíz, escriba datos en archivos específicos y más.

Tendencias

Mas Visto

Cargando...