Los funcionarios del Departamento de Seguridad Nacional (DHS) de EE.UU. han emitido otra advertencia sobre el malware norcoreano, esta vez una nueva variante denominada “Hoplight”.
El malware troyano de puerta trasera está vinculado al famoso grupo Hidden Cobra, también conocido como el Grupo Lazarus.
“Este artefacto es un ejecutable PE32 malicioso. Al ejecutarse, el malware recopilará información del sistema sobre el equipo afectado, incluida la versión del sistema operativo, la información sobre el volumen y la hora del sistema, y enumerará las unidades y particiones del sistema”, advertía la alerta.
“El malware tiene las siguientes funciones: Leer, escribir y mover archivos; Enumerar unidades de sistema; crear y terminar procesos; inyectar en procesos en ejecución; crear, iniciar y detener servicios; modificar la configuración del registro; conectarse a un host remoto; cargar y descargar archivos”.
El programa malicioso utiliza un certificado SSL público para las comunicaciones seguras del gigante surcoreano Naver, y emplea proxys para ocultar su actividad.
“Los proxys tienen la capacidad de generar sesiones de handshake TLS falsas utilizando certificados SSL públicos válidos, disfrazando las conexiones de red con actores maliciosos remotos”, afirma el informe.
Esta es la última de una larga lista de alertas sobre el nuevo malware de Corea del Norte, que ahora tiene dos dígitos.
Insta a los equipos de TI a seguir las mejores prácticas en ciberseguridad, como mantener los sistemas y las herramientas AV actualizados y parcheados, deshabilitar el uso compartido de archivos e impresoras, aplicar contraseñas seguras, restringir los permisos de los usuarios, analizar en busca de archivos adjuntos de correo electrónico sospechosos y mucho más.
Con información de: Info Security Magazine.