Los equipos globales de Respuesta a Emergencias (GERT) y de Análisis e Investigación (GReAT) de Kaspersky han descubierto un novedoso malware multiplataforma denominado NKAbuse.
.jpg)
Durante la respuesta a un reciente incidente, los expertos de Kaspersky identificaron un nuevo malware, denominado NKAbuse, que aprovecha la tecnología NKN, un protocolo peer-to-peer orientado a blockchain conocido por su descentralización y privacidad. Este malware ha afectado a posibles víctimas en Colombia, México y Vietnam, según el Kaspersky Security Network.
NKAbuse, un implante híbrido, funciona como puerta trasera/RAT y flooder, lo que lo convierte en una amenaza versátil. Como puerta trasera/RAT, proporciona a los atacantes acceso no autorizado a sistemas, permitiendo la ejecución encubierta de comandos, robo de datos y monitoreo de actividades, especialmente útil para el espionaje. Al mismo tiempo, en su función de flooder, puede lanzar ataques DDoS destructivos que interrumpen servidores o redes específicas, impactando en las operaciones de las organizaciones.
El malware va más allá, incorporando funciones avanzadas como captura de pantallas, administración de archivos y recuperación de información del sistema y la red. Todos los datos recopilados se envían al botmaster (atacante que controla el malware) a través de la red NKN, utilizando comunicación descentralizada para lograr un ataque sigiloso y eficiente.
El proceso de infiltración comienza explotando la antigua vulnerabilidad RCE CVE-2017-5638, permitiendo a los atacantes obtener el control de los sistemas afectados. Una vez dentro, el malware descarga un implante en el host de la víctima, estableciendo persistencia y asegurando su funcionamiento continuo en el sistema.
NKAbuse utiliza el protocolo NKN para operaciones descentralizadas y anónimas, complicando los esfuerzos de detección y mitigación. Programado en Go, el malware es compatible con varios sistemas operativos y arquitecturas, incluidos Linux de escritorio y dispositivos IoT, aprovechando la capacidad de Go para producir binarios autónomos, simplificando la implementación.
Para prevenir ataques, los investigadores de Kaspersky recomiendan la actualización regular de sistemas y software, acceso a la inteligencia de amenazas, capacitación del equipo de ciberseguridad, implementación de soluciones EDR y la investigación detallada de incidentes con servicios de respuesta a incidentes. NKAbuse es detectado por todos los productos de Kaspersky como HEUR:Backdoor.Linux.NKAbuse.a. El informe completo está disponible en Securelist.com.
Publicar un comentario