Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Puertas traseras Puerta trasera de Tropidoor

Puerta trasera de Tropidoor

Por Mezo en Puertas traseras, Amenaza persistente avanzada (APT)
Traducir a:
Español

Tropidoor es un programa amenazante clasificado como puerta trasera. Las puertas traseras son un tipo de malware diseñado para proporcionar acceso no autorizado a un sistema comprometido. Algunas variantes también pueden descargar e instalar software o componentes maliciosos adicionales, lo que aumenta la gravedad del ataque.

La conexión de Tropidoor con BeaverTail y los actores amenazantes de Corea del Norte

Tropidoor se ha observado en campañas de ciberataques junto con un malware de descarga y otro programa dañino llamado BeaverTail . Este último está vinculado a actores de amenazas norcoreanos y se ha utilizado para atacar a desarrolladores, especialmente en Corea del Sur.

Cómo se distribuye Tropidoor: Campañas de phishing con temática de reclutamiento

Los ciberdelincuentes han distribuido Tropidoor mediante correos electrónicos de phishing con temática de reclutamiento. Estos mensajes fraudulentos suplantaban ofertas de trabajo de la Comunidad DEV (dev.to) y contenían enlaces a un repositorio de BitBucket que albergaba código malicioso. El repositorio incluía BeaverTail y el descargador que ejecuta Tropidoor.

Comunidad Beyond DEV: LinkedIn y otros vectores de ataque

BeaverTail se ha propagado ampliamente mediante campañas de phishing en LinkedIn, utilizando ofertas de trabajo falsas como cebo. Si bien estas campañas se han dirigido a usuarios de todo el mundo, la mayoría de las víctimas parecen estar en Corea del Sur.

Tácticas de distribución de malware: phishing, malvertising y más

El malware como Tropidoor generalmente se distribuye a través de:

  • Correos electrónicos de phishing con archivos adjuntos o enlaces no seguros
  • Descargas no autorizadas desde sitios web comprometidos
  • Malvertising (anuncios inseguros que provocan descargas)
  • Fuentes de software no confiables, como sitios de software gratuito y redes P2P
  • Software pirateado y herramientas de activación ilegales (cracks)
  • Actualizaciones de software falsas
  • Mecanismos de autopropagación mediante redes locales o unidades USB

El engaño de BitBucket: la táctica del phishing

Otro intento de phishing incluyó correos electrónicos que suplantaban la identidad de la empresa AutoSquare. Se dirigía a las víctimas a clonar un proyecto de BitBucket, que contenía un paquete npm que albergaba tanto BeaverTail como un malware descargador de DLL camuflado como car.dll. Este descargador se ejecutaba mediante un ladrón y cargador basado en JavaScript.

Las capacidades de Tropidoor: una poderosa ciberarma

Una vez ejecutado, Tropidoor opera en memoria e interactúa con su servidor de Comando y Control (C2). Esto le permite:

  • Recopilar información del sistema (nombre del dispositivo, detalles del sistema operativo, información del hardware)
  • Administrar archivos (buscar, eliminar, descargar, recopilar)
  • Ejecutar y finalizar procesos
  • Capturar capturas de pantalla
  • Inyectar código malicioso en procesos en ejecución
  • Cargar y ejecutar cargas útiles en la memoria

Una amenaza en evolución: el futuro de Tropidoor

Los desarrolladores de malware mejoran sus herramientas con frecuencia, y las futuras versiones de Tropidoor podrían incorporar nuevas funcionalidades. Esta evolución hace que sea crucial que los equipos de ciberseguridad se mantengan alerta ante las amenazas emergentes.

La conexión del Grupo Lázaro: una táctica familiar

Tropidoor comparte similitudes con LightlessCan , otro malware utilizado por el Grupo Lazarus , una organización de hackers afiliada a Corea del Norte. Al igual que su predecesor, BLINDINGCAN (también conocido como AIRDRY o ZetaNile), Tropidoor implementa directamente comandos de Windows como schtasks, ping y reg para camuflarse con la actividad legítima del sistema.

Protéjase: Cómo mantenerse a salvo de los ataques de Tropidoor

Para reducir el riesgo de infección, los usuarios deben:

  • Tenga cuidado con los archivos adjuntos y enlaces de correo electrónico
  • Evite descargar software de fuentes no verificadas
  • Mantenga las correcciones de seguridad y el software actualizados
  • Utilice contraseñas seguras y únicas
  • Utilice herramientas de protección de endpoints y antimalware de buena reputación

Al mantenerse alerta y seguir las mejores prácticas de ciberseguridad, las personas y las organizaciones pueden defenderse mejor contra amenazas sofisticadas como Tropidoor.

Tendencias

Mas Visto

Cargando...