Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/05/2012
Troià utilitza Tor per a anonimitzar la seua activitat maliciosa
En els laboratoris d’ESET s’ha descobert un troià tipus backdoor que utilitza Tor com a manera de fer anònim el seu comportament maliciós en Internet.
D’esta manera, qualsevol tràfic generat pel programari maliciós que intente ser analitzat i capturat per autoritats o investigadors, resultarà complicat d’interpretar pel mal ús que fa este codi maliciós de la ferramenta esmentada, la funció genuïna de la qual és brindar una capa de privacitat extra als usuaris quan naveguen per llocs d’Internet. Segons els autors d’este programari de privacitat, “Tor és un programa gratuït i una xarxa oberta que defén l’usuari d’algunes formes de vigilància que amenacen la llibertat i privacitat personal, activitats confidencials de negocis, relacions, entre altres”.
Com tota ferramenta tecnològica, hi ha individus que en fan un bon ús i altres que no, com en este cas. Quan esta amenaça detectada per ESET NOD32 Antivirus com Win32/Agent.PBI és executada per primera vegada, copia un arxiu denominat “install-201591042.exe” en la carpeta temporal del sistema per a després executar-lo. De seguida utilitza el protocol HTTP per mitjà de la xarxa de Tor per a realitzar accions com la descàrrega de codis maliciosos addicionals des d’Internet o altres ubicacions remotes, executar arxius, i actualitzar-se a versions més recents a fi d’evadir la detecció dels antivirus. D’altra banda, Agent.PBI està desenrotllat per a funcionar en tot tipus de configuracions, inclús en aquelles on no es trobe instal·lat Tor. Per a això, instal·la este programa com a un servici de Windows. Així, cada vegada que l’usuari inicie sessió en el seu computador, també es carregarà el programari.
Una vegada que s’ha registrat el servici, el troià procedix a copiar els executables i altres arxius corresponents a Tor en diverses carpetes del sistema. Després, intenta modificar el comportament del tallafocs de Windows amb l’objectiu de no alertar l’usuari davant de connexions i requeriments pocs usuals. Després, tracta de propagar-se per la xarxa P2P eMule i sostrau informació de l’usuari com el nom del seu compte, l’adreça IP de l’ordinador i la versió del sistema operatiu utilitzat. Tècnicament, i per a dificultar el seu estudi de comportament per mitjà d’una anàlisi dinàmica o estàtica, el troià es tanca si detecta que s’està executant en una màquina virtual o en un debugger.
Com hem pogut apreciar durant el transcurs dels anys i l’evolució que han experimentat les amenaces informàtiques, els cibercriminals estan constantment buscant temàtiques d’Enginyeria Social i tècniques informàtiques, a fi de maximitzar el rèdit econòmic, aconseguir fer víctima l’usuari i dificultar el descobriment del codi maliciós per part de les empreses de seguretat. La implementació d’una solució antivirus amb capacitat de detecció proactiva i una correcta educació per part de l’usuari minimitzen el risc d’infecció.