Bitácora del analista antivirus


A finales de la semana pasada, descubrimos evidencias de una posible conexión entre un troyano puerta trasera Mac OS X y un ataque APT conocido como Lucky Cat . La dirección IP del C&C al que se conecta este bot (199.192.152.*) también se usó en otros ejemplares de malware para Windows durante 2011, lo que nos hace pensar que estamos buscando a los mismos responsables en ambos ataques.

Durante los últimos dos días hemos estado vigilando un sistema infectado “falso”, que es un procedimiento típico cuando analizamos bots de APT. Hoy nos sorprendimos muchísimo cuando, durante el fin de semana, los controladores del APT tomaron nuestro equipo infectado y comenzaron a explorarlo.

El viernes 13 de abril se cerró el puerto 80 del servidor C&C ubicado en rt*****.onedumb.com y alojado en un servidor virtual privado (VPS) en Freemont, Estados Unidos. El sábado, el puerto se abrió y el bot comenzó a comunicarse con el servidor C&C. Durante el día entero, casi todo el tráfico consistía en Basic Handshakes e intercambios, nada más.

La mañana del domingo 15 de abril, el tráfico generado por el C&C cambió. Los atacantes invadieron la conexión y comenzaron a analizar nuestro falso equipo víctima. Listaron los contenidos de la raíz y carpetas de inicio, ¡hasta robaron algunos de los documentos que pusimos dentro!

http://www.viruslist.com/sp/weblog?weblogid=208188617

Acerca de Rafael Quintana

Con ganas de compartir y de aprender
Galería | Esta entrada fue publicada en Seguridad y etiquetada , , . Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s