Una empresa de transporte y logística de Sudáfrica ha sido la nueva víctima de un malware con funcionalidad de puerta trasera previamente indocumentado, según ha informado ESET.
La compañía de ciberseguridad ha apodado a este malware como Vyveva y lo ha atribuido al grupo de APT Lazarus, dadas las similitudes que comparte con otros ciberataques llevados a cabo por este grupo de delincuentes. Este backdoor incluye capacidades de ciberespionaje, como extracción de ficheros y recopilación de la información, tanto de los dispositivos infectados como de sus unidades de disco, según los investigadores.
Los datos de telemetría de ESET sugieren que ha sido desplegado en ataques dirigidos, ya que solo han encontrado dos víctimas y ambas son servidores propiedad de una empresa de logística de carga ubicada en Sudáfrica.
"Vyveva comparte muchas similitudes con otras muestras antiguas de Lazarus detectadas. Además, también coincide en el uso de un protocolo TLS falso para la comunicación, en las cadenas de ejecución de líneas de comando, en los métodos de cifrado y en el uso de Tor", ha afirmado Filip Jurcacko, el investigador que ha analizado el malware. "Todo esto apunta a que Vyveva puede ser atribuido al grupo Lazarus".
Otras claves de "Vyveva"
Siguiendo la información facilitada por ESET, Vyveva está activa desde al menos diciembre de 2018 y utiliza comandos propios de este grupo de ciberdelincuentes, como las operaciones de proceso y archivo o la recopilación de información. También usa un comando menos común para las marcas temporales, que permite copiar las marcas de fecha desde otros archivos "donantes" o utilizar fechas aleatorias.
Además, la compañía señala que se comunica con su servidor de comando y control a través de la red anónima Tor. Contacta con el servidor en intervalos de tres minutos, enviando información sobre la máquina infectada y sus unidades de disco antes de recibir los comandos. "Sin embargo, nos ha parecido especialmente relevante observar cómo la backdoor monitoriza las unidades conectadas y desconectadas recientemente, así como el número de sesiones activas y los usuarios conectados. Estos componentes pueden provocar una conexión con el servidor de mando y control fuera de esos intervalos de tres minutos", ha explicado Jurcacko.