Victory Backdoor

Se ha detectado una nueva amenaza de puerta trasera como parte de una campaña de espionaje en curso dirigida a entidades en el sudeste asiático. El malware fue nombrado Victory Backdoor por los investigadores que analizaron su funcionalidad. Según sus hallazgos, Victory Backdoor está diseñado para recopilar información, al mismo tiempo que mantiene un canal de acceso constante a los dispositivos comprometidos. La funcionalidad del malware incluye tomar capturas de pantalla arbitrarias, manipular el sistema de archivos: leer, cambiar el nombre, crear o eliminar archivos en el dispositivo, extraer datos de nivel superior de las ventanas abiertas y apagar la computadora si es necesario.

Años de desarrollo

Si bien Victory Backdoor es una amenaza de malware única, los investigadores pudieron descubrir superposiciones significativas entre este y los archivos enviados a VirusTotal en 2018. La forma en que se implementa la funcionalidad de la puerta trasera es idéntica de manera efectiva, pero las similitudes no se detienen ahí. Los archivos llamados MClient por su autor y la puerta trasera Victory también usan el mismo formato en su método de conexión, además de tener claves XOR idénticas. Eso

Rápidamente se hizo evidente que los archivos MClient eran versiones de prueba anteriores del malware que mostraban que sus creadores maliciosos habían pasado años en su desarrollo.

Las versiones anteriores incluyen un conjunto ampliado de funcionalidades nefastas. Por ejemplo, poseían capacidades de registro de teclas, algo que falta en Victory Backdoor. Este hecho llevó a los investigadores a la conclusión de que los piratas informáticos podrían haber decidido dividir las capacidades de sus versiones iniciales de malware en varios módulos separados. Hacerlo dificulta la detección y, al mismo tiempo, dificulta los intentos de análisis. Como tal, módulos maliciosos adicionales aún no descubiertos podrían usarse para escalar los ataques contra los objetivos elegidos.