Software malicioso YamaBot

Software malicioso YamaBot Descripción

El malware YamaBot es una amenaza dañina que está vinculada a la organización cibercriminal APT (Advanced Persistent Threat) de Corea del Norte conocida como Lazarus Group . Esta variedad de malware en particular está escrita en el lenguaje de programación Go y sus objetivos se han ubicado principalmente en Japón. Los ciberdelincuentes han creado diferentes versiones de YamaBot, dependiendo de los sistemas específicos que quieran infectar. Inicialmente, YamaBot se aprovechó solo contra los servidores del sistema operativo Linux, pero se descubrió una versión más nueva capaz de afectar a los dispositivos del sistema operativo Windows.

La funcionalidad exacta de YamaBot difiere entre las dos versiones. Para empezar, la información inicial sobre el sistema infectado recopilada por el malware incluye nombres de host, nombres de usuario y direcciones MAC en Windows y solo nombres de host y nombres de usuario en Linux. Además, la versión de Linux solo puede ejecutar comandos de shell a través de /bin/sh.

Sin embargo, en Windows, YamaBot puede obtener listas de archivos y directorios, obtener archivos adicionales, modificar el tiempo de suspensión del sistema, ejecutar comandos de shell y eliminarse a sí mismo de la máquina. Por razones desconocidas, los atacantes han creado la amenaza YamaBot para devolver los resultados de los comandos ejecutados también en alemán. En cuanto a su comunicación con el servidor de comando y control de la operación amenazante (C2, C&C), la amenaza utiliza solicitudes HTTP.