La plataforma de soluciones de búsqueda y software como servicio Elastic, detectó una nueva forma de malware: el implante Deimos, que se descubrió por primera vez hace dos años. El aspecto que más destacado de este nuevo ataque es que evita ser detectado y por tanto resulta más difícil de descubrir. Lo hace empleando varias capas […]
Dirigentes Digital
| 11 ene 2023
La plataforma de soluciones de búsqueda y software como servicio Elastic, detectó una nueva forma de malware: el implante Deimos, que se descubrió por primera vez hace dos años. El aspecto que más destacado de este nuevo ataque es que evita ser detectado y por tanto resulta más difícil de descubrir. Lo hace empleando varias capas de encriptación.
Elastic Security ha dado con la solución y así informan en un análisis publicado en el que detallan cómo actúa este malware y cuáles son las claves para frenar su acceso y ejecución en los ordenadores en los que logra acceder. “El malware es un programa informático cuya principal característica es que se ejecuta sin el conocimiento ni autorización del propietario o usuario del equipo infectado y realiza funciones en el sistema que son perjudiciales para el usuario y/o para el sistema”, explican desde INCIBE, el Instituto Nacional de Ciberseguridad.
Las conclusiones más destacadas del análisis elaborado por Elastic ponen de manifiesto el desarrollo de una herramienta de acceso remoto asociadas a las ya conocidas Jupyter Infostealer, SolarMarker y Yellow Cockatoo (otros malware empleados por ciberatacantes). Este programa informático es capaz de ejecutarse en tareas que requieran acceso remoto. Además, incorpora archivos de instalación con firma digital que resultan convincentes y que son empleados como cebo.
Para recoger las consecuencias que puede producir el implante Deimos, en Elastic han tenido en cuenta el modelo de Pirámide del dolor de David Bianco, un diagrama utilizado en el campo de la ciberseguridad para explicar la relación entre indicadores diferentes que se usan para detectar los ataques de un ciberdelincuente y el daño que puede producir actuar sobre dichos ataques.
Lo que han logrado desde Elastic Security es desmantelar la estructura de comando y control (C2) con el fin de establecer después reglas de detección y normas de búsqueda de amenaza para frenar el implante Deimos. La estructura C2 se utiliza para controlar a un cliente desde un servidor central. Al formarse una amplia red entre servidor central y los servidores command and control, cuando se da un ataque a esta estructura, la capacidad para infectar dispositivos es mayor.
