Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA VARIANTE DEL TROYANO SKIDMAP DIRIGIDA A SERVIDORES REDIS

20/10/2023

NUEVA VARIANTE DEL TROYANO SKIDMAP DIRIGIDA A SERVIDORES REDIS
El equipo de analistas del Csirt Financiero identificó la nueva variante del troyano SkidMap que ataca a diferentes distribuciones Linux entre las que se encuentran Debian, Ubuntu, RedHat, CentOS, Alibaba, Anolis, openEuler, EulerOS, Stream y Rocky.

Descripción

La principal característica de esta amenaza es que puede adaptarse al sistema en el que se ejecuta.

SkidMap fue descubierto principalmente por Trend Micro en septiembre de 2019, siendo considerado como una botnet con capacidades para cargar módulos de kernel maliciosos que pueden ocultar sus actividades y monitorear procesos de minería; los operadores del troyano también han ocultado su dirección IP de comando y control (C2) evocando un botnet conocido como Glupteba, técnica similar a otro troyano llamado Glupteba. Esta técnica dificulta la eliminación de la infección y permite cambiar la dirección IP C2 de manera rápida y sencilla.

Todo comienza con un intento de iniciar sesión en la instancia de Redis y configurar variables que contienen tareas ocultas bajo una cadena de caracteres (String) base64.

Vector de infección

Esta amenaza se distribuye mediante correos electrónicos no deseados que aparentan ser de empresas legítimas. Estos correos contienen adjuntos que se presentan como facturas, al abrir este tipo de archivos maliciosos se descarga y ejecuta el troyano SkidMap.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Emplear políticas de grupo en el Directorio Activo (AD) que permitan restringir la ejecución de scripts mediante los intérpretes de comandos de CMD y PowerShell en los equipos que no sean requeridos.
  • Monitorear el tráfico entrante y saliente para detectar posibles conexiones inusuales y que puedan estar siendo utilizadas para exfiltrar información.
  • No almacenar credenciales en los navegadores web; para esto se recomienda el uso de software para la gestión de contraseñas.

Leer noticia: https://thehackernews.com/2023/08/new-skidmap-redis-malware-variant.html