El FBI y el Departamento de Seguridad Nacional han emitido una advertencia conjunta sobre un nuevo malware llamado “Electricfish”. Los investigadores sospechan que fue desarrollado por el grupo avanzado de amenaza persistente Cobra Oculta, que ha sido vinculado a Corea del Norte.
Una advertencia publicada por el Equipo de Preparación para Emergencias Informáticas de EE.UU., no indica si alguna organización ha sufrido un ataque de Hidden Cobra, también conocido como el Grupo Lazarus, utilizando el malware Electricfish. Sin embargo, debido a que los investigadores pudieron aplicar ingeniería inversa a parte del código, existe la posibilidad de que esté operando en estado salvaje y que haya sido utilizado de alguna manera por el grupo.
Esta es la segunda vez en un mes que las autoridades estadounidenses advierten sobre nuevos ciberataques derivados de Hidden Cobra, que se ha vinculado a los ataques de WannaCry en 2017, así como a la violación de Sony Pictures en 2014.
El propósito principal de Electricfish es canalizar secretamente el tráfico entre dos direcciones IP utilizando un protocolo personalizado, permitiendo a los atacantes robar datos y evitar la detección.
El análisis del malware de Electricfish se basa en un archivo ejecutable de 32 bits de Windows que contiene el protocolo personalizado que permite canalizar el tráfico de red entre una dirección IP de origen y una dirección de destino, según CERT.
A través de la ingeniería inversa, los investigadores federales descubrieron que el malware intenta continuamente llegar tanto al sistema de origen como al de destino. Al hacer esto, permite a los atacantes de ambos lados iniciar una sesión de embudo. Electricfish también puede ser configurado con un servidor o puerto proxy, así como con un nombre de usuario y contraseña proxy, según el análisis encontrado.
Con información de: Bank Info Security.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian