TinyFluff Backdoor

La organización cibercriminal rastreada por los investigadores de infosec como OldGremlin está de vuelta en movimiento. Este actor de amenazas en particular prefiere pasar desapercibido y ejecutar solo un par de campañas amenazantes antes de volver a entrar en letargo. Aún así, el grupo es extremadamente sofisticado y sus ataques son cuidadosamente planeados, ejecutados y cerrados. Entre las características distintivas de OldGremlin está el hecho de que sus víctimas son siempre empresas rusas y utiliza amenazas de puerta trasera personalizadas para entregar sus cargas útiles finales de ransomware. Cabe señalar que en un caso confirmado, el grupo pidió a sus víctimas un rescate de $3 millones, lo que podría explicar la falta de urgencia por estar constantemente activo.

Detalles de puerta trasera

Las últimas operaciones de OldGremlin incluyen dos ataques de phishing que generan una nueva amenaza de puerta trasera llamada TinyFLuff Backdoor. TinyFluff parece ser una variante modificada y actualizada de una antigua amenaza de puerta trasera OldGremlin rastreada como TinyNode. Los investigadores del Grupo-IB han observado dos variantes diferentes de TinyFluff. El anterior es más complejo, mientras que la variante más reciente se ha optimizado y simplificado para facilitar su uso sobre la marcha. Es probable que la amenaza de puerta trasera se optimice aún más para futuros ataques.

TinyFluff lanzará un intérprete de Node.js y proporcionará a los piratas informáticos acceso a los dispositivos violados. Sin embargo, antes de activarse por completo, la amenaza verificará el sistema comprometido en busca de signos de virtualización o un entorno de prueba. Posteriormente, TinyFluff pasará a la etapa de reconocimiento de la operación de ataque. Los comandos recibidos por la puerta trasera llegan en forma de texto claro, lo que permite que los investigadores de ciberseguridad los examinen fácilmente.

Según sus hallazgos, se puede indicar a TinyFluff que comience a recopilar información del sistema, información sobre las unidades conectadas y la conexión instalada en el sistema. La amenaza también es capaz de iniciar un shell cmd.exe para ejecutar comandos. Puede obtener información sobre archivos contenidos en directorios específicos en el disco del sistema. Finalmente, TinyFluff puede terminar las actividades del intérprete de Node.js.

Tendencias

Mas Visto

Cargando...