Malware: Los cibercriminales secuestran servidores de forma remota con Hikit APT

Investigadores de seguridad han revelado la existencia de una amenaza avanzada persistente que ha estado haciendo su ronda desde abril del 2011. Identificado como Backdoor.Hikit, el malware lleva a algunos interesantes ases en la manga.

Hikit tiene una serie de cuatro componentes principales: un dropper que compromete el sistema (actualmente desconocido); una librería de enlace dinámico (DLL) que ofrece una funcionalidad de puerta trasera; una unidad de núcleo que está a cargo de la supervisión de la red de tráfico; y una client tool que se utiliza para conectarse a la puerta trasera.

Según los expertos de la empresa de seguridad Symantec , todo comienza con el dropper desconocido que instala una DLL backdoor en el dispositivo comprometido. Esta puerta trasera a continuación instala el componente del controlador que permite al atacante comunicarse con el ordenador infectado.

Con el fin de evitar ser catalogado como malicioso, el componente DLL está firmado por dos diferentes certificados digitales, uno de los cuales ya ha expirado.

Sin embargo, Hikit tiene una característica aún más interesante. A diferencia de muchas otras piezas de malware, Hikit no intenta ponerse en contacto con su mando ni controlar el servidor una vez que infecta un dispositivo. El núcleo,está diseñado para esperar a que el atacante inicie las comunicaciones, reduciendo significativamente las capacidades operativas de la amenaza.

En teoría, esto complicaría al atacante alcanzar el dispositivo comprometido porque en la mayoría de los casos las redes internas se encuentran detrás de un cortafuegos y un router – aunque esto no parece ser un problema.

VÍA: SOFTPEDIA