Seguridad

Descubre Eset malware que toma control sobre la comunicación por e-mail

Redacción10/05/2019
2 minutos de lectura

La firma presentó su investigación sobre LightNeuron, una puerta trasera de Microsoft Exchange que puede leer, modificar o bloquear cualquier correo electrónico que pase por el servidor de correo, e incluso redactar nuevos correos electrónicos y enviarlos bajo la identidad de cualquier usuario legítimo de la elección de los atacantes. El malware se controla de forma remota a través de correos electrónicos utilizando archivos adjuntos de archivos PDF y JPG estenográficos.

LightNeuron apunta a los servidores de correo de Microsoft Exchange al menos desde 2014. Los investigadores de ESET identificaron tres organizaciones de víctimas diferentes, entre ellas un ministerio de asuntos exteriores en un país de Europa del Este y una organización diplomática regional en el Medio Oriente.

LightNeuron es el primer malware conocido que utiliza incorrectamente el mecanismo del agente de transporte de Microsoft Exchange. “En la arquitectura del servidor de correo, LightNeuron puede operar con el mismo nivel de confianza que los productos de seguridad, como los filtros de spam. Como resultado, este malware le da al atacante control total sobre el servidor de correo y, por lo tanto, sobre toda la comunicación del correo electrónico», explica Matthieu Faou, el investigador de malware de ESET que realizó la investigación.

Los investigadores recopilaron evidencia que sugiere, con un alto nivel de certeza, que LightNeuron pertenece al grupo de espionaje Turla, también conocido como Snake. «Creemos que los profesionales de la seguridad de TI deben conocer esta nueva amenaza», comenta Faou.

Para hacer que los correos electrónicos de comando y control (C&C) parezcan inocentes, LightNeuron usa la esteganografía para ocultar sus comandos dentro de documentos PDF o imágenes JPG válidos.

La capacidad de controlar la comunicación por correo electrónico convierte a LightNeuron en una herramienta para la filtración de documentos y también para controlar otras máquinas locales a través de un mecanismo de C&C que es muy difícil de detectar y bloquear, afirmó Eset.

“Debido a las mejoras de seguridad en los sistemas operativos, los atacantes necesitan persistencia en las herramientas que puedan vivir en el sistema objetivo, buscar documentos valiosos y desviarlos, todo sin generar sospechas. LightNeuron surgió como una la solución de Turla «, concluyó Faou.

Los investigadores advierten que limpiar LightNeuron de una red no es una tarea fácil: simplemente eliminar los archivos maliciosos no funciona, ya que rompería el servidor de correo electrónico. Faou, aconsejó: «Animamos a los administradores a leer el documento de investigación en su totalidad antes de implementar un mecanismo de limpieza».

Según la firma, el análisis, que incluye la lista completa de indicadores de compromiso y muestras, se puede encontrar en el documento de investigación Turla LightNeuron: One Email Away from Remote Code Execution.

[email protected]

También te puede interesar:

Alerta Eset sobre estafa a través de WhatsApp

Siete consejos de Eset para cifrar la información

El mercado negro del cibercrimen: precios y servicios que se ofrecen en la dark web, según Eset

Máximo histórico de vulnerabilidades reportadas en 2018: Eset

 

Etiquetas
Redacción10/05/2019
2 minutos de lectura

Publicaciones relacionadas

Costos por secuestro de datos aumentaron un 500% en el último año

02/05/2024

Ciberseguridad, el desafío de las ciudades inteligentes, ¿Cómo protegerlas?

30/04/2024

Ataques DDoS aumentan un 50% en el primer trimestre de 2024

23/04/2024

Radiografía de la ciberseguridad en AL: humanos el eslabón más débil

22/04/2024
Botón volver arriba
Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Powered by Social Snap
Copy link
CopyCopied
Powered by Social Snap