![\"Tomiris,](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2021\/10\/yunque-300x197.jpg\")
<\/p>\n<\/p>\n
Una nueva puerta trasera ha sido revelada por los laboratorios Kaspersky, conocida como Tomiris, relacionada con otros c\u00f3digos malignos conocidos, entre ellos, Halo oscuro. La intenci\u00f3n del malware es penetrar y robar archivos, contando para ello con funcionalidades que enmascaren sus acciones.<\/p>\n
Aprender sobre \u00abTomiris\u00bb ser\u00e1 un paso para ser menos vulnerable en esta \u00e9poca donde las TIC han invadido todos los sectores de la vida.<\/p>\n
<\/p>\n
En la conferencia SAS 2021, nuestros expertos hablaron sobre la puerta trasera Tomiris, la cual parece estar vinculada al grupo DarkHalo.<\/p>\n
Nuestros expertos encontraron una nueva puerta trasera que los cibercriminales ya utilizan en ataques dirigidos. Esta puerta trasera, llamada Tomiris, guarda gran parecido con el malware Sunshuttle (tambi\u00e9n conocido como GoldMax) que DarkHalo (tambi\u00e9n conocido como Nobelium) utiliz\u00f3 en un ataque de cadena de suministro contra los clientes de SolarWinds.<\/p>\n
Capacidades de Tomiris<\/strong><\/p>\n La tarea principal de la puerta trasera Tomiris es entregar malware adicional a la m\u00e1quina de la v\u00edctima. Est\u00e1 en comunicaci\u00f3n constante con el servidor C&C de los cibercriminales y descarga archivos ejecutables, los que a su vez se ejecutan con argumentos espec\u00edficos desde ah\u00ed.<\/p>\n Nuestros expertos tambi\u00e9n encontraron una variante que roba archivos. El malware seleccionado recientemente cre\u00f3 archivos con ciertas extensiones (.doc, .docx, .pdf, .rar, entre otras), despu\u00e9s las descarg\u00f3 en el servidor C&C.<\/p>\n Los creadores de la puerta trasera la proveyeron de varias funciones para enga\u00f1ar a las tecnolog\u00edas de seguridad y confundir a los investigadores. Por ejemplo, tras la entrega, el malware no hace nada durante 9 minutos, un retraso que probablemente tenga como intenci\u00f3n enga\u00f1ar a los mecanismos de detecci\u00f3n basados en espacios aislados. Adem\u00e1s, la direcci\u00f3n del servidor C&C no est\u00e1 codificada directamente en Tomiris; la URL y la informaci\u00f3n del puerto vienen de un servidor de se\u00f1alizaci\u00f3n.<\/p>\n C\u00f3mo entra Tomiris a las computadoras<\/strong><\/p>\n Para entregar la puerta trasera, los cibercriminales utilizan secuestro de DNS para redirigir el tr\u00e1fico desde los servidores de correo de las organizaciones objetivo a sus propios sitios maliciosos (probablemente al obtener credenciales para el panel de control en el sitio del registrador de dominios). De esta manera, pueden atraer a los clientes a una p\u00e1gina que se parezca a la p\u00e1gina de inicio de sesi\u00f3n real del servicio de correo. Como es natural, cuando alguien ingresa credenciales en la p\u00e1gina falsa, los malhechores de inmediato obtienen esas credenciales.<\/p>\n Por supuesto, los sitios en ocasiones solicitan a los usuarios instalar una actualizaci\u00f3n de seguridad para funcionar. En este caso, la actualizaci\u00f3n fue en realidad un downloader para Tomiris.<\/p>\n En nuestra publicaci\u00f3n de Securelist puedes encontrar m\u00e1s detalles t\u00e9cnicos sobre la puerta trasera de Tomiris, junto con los indicadores de compromiso y las similitudes observadas entre Tomiris y las herramientas de DarkHalo.<\/p>\n C\u00f3mo mantenerse seguro<\/strong><\/p>\n El m\u00e9todo de entrega de malware que ya describimos no funcionar\u00e1 si la computadora que accede a la interfaz web de correo est\u00e1 protegida por una soluci\u00f3n de seguridad s\u00f3lida. Adem\u00e1s, cualquier actividad de los operadores de APT en la red corporativa puede detectarse con ayuda de los expertos que alimentan Kaspersky Managed Detection and Response.<\/p>\n Fuente: Kaspersky Daily en https:\/\/latam.kaspersky.com\/blog\/tomiris-backdoor\/23001\/<\/p>\n Una nueva puerta trasera ha sido revelada por los laboratorios Kaspersky, conocida como Tomiris, relacionada con otros c\u00f3digos malignos conocidos, entre ellos, Halo oscuro. La intenci\u00f3n del malware es penetrar y robar archivos, contando para ello con funcionalidades que enmascaren … Sigue leyendo Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"