ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto un malware con funcionalidad de puerta trasera desconocida hasta ahora y que ha sido utilizada para atacar a una empresa de transporte y logística de Sudáfrica. El laboratorio de ESET ha denominado a este malware Vyveva y lo ha atribuido al grupo Lazarus, debido a las similitudes con otros ataques llevados a cabo por este grupo de ciberdelincuentes. La backdoor descubierta por ESET incluye capacidades de ciberespionaje como extracción de ficheros y recopilación de la información, tanto de las máquinas infectadas como de sus unidades de disco. Vyveva se comunica con su servidor de mando y control a través de la red anónima Tor y está activa desde diciembre de 2018.
La telemetría de ESET sugiere que los ataques llevados a cabo por Vyveva son dirigidos, ya que solamente se han encontrado dos víctimas y las dos eran propiedad de la misma empresa de logística.
“Vyveva comparte muchas similitudes con otras muestras antiguas de Lazarus detectadas por ESET. Además, también coincide en el uso de un protocolo TLS falso para la comunicación, en las cadenas de ejecución de líneas de comando, en los métodos de cifrado y en el uso de Tor”, afirma Filip Jurcacko, el investigador de ESET que ha analizado el malware. “Todo esto apunta a que Vyveva puede ser atribuido al grupo Lazarus”.
La backdoor utiliza comandos propios de este grupo de ciberdelincuentes, como las operaciones de proceso y archivo o la recopilación de información. También utiliza un comando menos habitual para las marcas temporales que permite copiar las marcas de fecha desde otros archivos “donantes” o utilizar fechas aleatorias.
Vyveva utiliza la librería de Tor para comunicarse con un servidor de mando y control. Contacta con el servidor en intervalos de tres minutos, enviando información sobre la máquina infectada y sus unidades de disco antes de recibir los comandos. “Sin embargo, nos ha parecido especialmente relevante observar cómo la backdoor monitoriza las unidades conectadas y desconectadas recientemente, así como el número de sesiones activas y los usuarios conectados. Estos componentes pueden provocar una conexión con el servidor de mando y control fuera de esos intervalos de tres minutos”, explica Jurcacko.
Para más información sobre Vyveva, se puede visitar el blog de ESET.
