Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Lazarus Group utiliza variante del troyano trickbot para infectar usuarios.

  • Publicado: 12/12/2019
  • Importancia: Media

Recursos afectados

Lazarus Group es un grupo de amenazas que ha dirigido campañas a gran escala sobre diferentes sectores a nivel internacional.  Sus intereses son variados y están asociados directamente con el ciber espionaje, saboteo informático y obtención de datos para luego ser usados como activo de financiamiento para sus campañas.
 
Trickbot es un troyano modular, el cual realiza actualizaciones constantemente con nuevas capacidades y módulos, fue descubierto en octubre del 2016, su objetivo principal es realizar la captura de información de una máquina comprometida.
 
La variante de TrickBot conocida como “Anchor” cuenta con capacidades como:

  • Scraper [malware POS, diseñados para “raspar” la información no cifrada de la RAM y, así, obtener los datos crediticios de los usuarios como números de las tarjetas, sus nombres, sus direcciones y sus códigos de seguridad].
  • Instalación de puertas traseras [sub-módulos que permiten el movimiento lateral en una red].
    Componente de desinstalación el cual elimina los rastros dejados por la infección dificultando el análisis forense dentro de los equipos infectados.
  • La puerta trasera PowerRatankba PowerShell, es la convergencia entre Trickbot y Lazarus, la cual es asociada a Lazarus, pero en realidad hace parte de las capacidades de Anchor.

Este es un breve resumen realizado por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected].

Etiquetas