Title: Potao Malware
1WEBIMPRINTS Empresa de pruebas de penetración
Empresa de seguridad informática http//www.webim
prints.com/seguridad-informatica.html
Potao Malware
2Potao Malware
Según Webimprints una empresa de pruebas de
penetración Potao malware es una campaña de
ciberespionaje dirigido principalmente contra
objetivos en Ucrania y un número de otros países
post-soviéticos, entre ellos Rusia, Georgia y
Bielorrusia. Fue utilizado como una puerta
trasera en la forma de una versión modificada del
software de cifrado TrueCrypt. El malware fue
enviados a todos través de correos electrónicos
de phishing, malware de USB y SMS de los
servicios postales para que el usuario abra la
URL infectado.
3Como funciona Potao Malware
Según expertos de proveedor de pruebas de
penetración, Cuando los delincuentes cambiaron su
enfoque de atacar objetivos en Rusia a los demás
en Ucrania, que comenzaron a enviar mensajes SMS
personalizados a sus víctimas potenciales para
atraerlos a las páginas de destino de alojamiento
el malware. El malware, sí contiene algunas
técnicas interesantes como el mecanismo para la
difusión a través de unidades USB y disfrazar
ejecutable como documentos de Word y Excel.
4Como funciona Potao Malware
Comenta Mike Stevens profesional de empresa de
seguridad informática que la página web
truecryptrussia.ru ha estado sirviendo a las
versiones modificadas del software de cifrado que
incluye una puerta trasera a objetivos
seleccionados. Las versiones limpia de la
aplicación se sirven a los visitantes normales a
la página web, es decir, personas que no son de
interés para los atacantes. Los expertos
detectaron el TrueCrypt troyanizado como Win32 /
FakeTC. Dominio de TrueCrypt Rusia también fue
utilizado como un servidor C C para el malware.
5Potao Malware
Comenta Mike Stevens de empresas de seguridad
informática que además de la orientación
selectiva (decidir a quién servir la versión
troyanizado en lugar de la limpieza), el código
de puerta trasera también contenía
desencadenantes que sólo activar la funcionalidad
de robo de datos maliciosos para, usuarios
TrueCrypt activos a largo plazo. Estos fueron sin
duda factores que contribuyen a que el malware
está pasando desapercibida durante mucho tiempo.
6Potao Malware
La conexión a Win32 / Potao, que es una familia
de malware diferente de Win32 / FakeTC, es que
FakeTC ha sido utilizado para entregar Potao a
los sistemas de víctimas en un número de casos.
FakeTC no es, sin embargo, más que un vector de
infección para Potao (y posiblemente otros tipos
de malware), pero una puerta trasera totalmente
funcional y peligroso diseñado para exfiltrate
archivos desde unidades cifradas de las víctimas
de espionaje menciono Mike Stevens de empresas de
seguridad informática.
7CONTACTO
www.webimprints.com
- 538 Homero 303Polanco, México D.F
11570 MéxicoMéxico Tel (55) 9183-5420 - DUBAI
- 702, Smart Heights Tower, DubaiSixth Floor,
Aggarwal Cyber Tower 1Netaji Subhash Place,
Delhi NCR, 110034IndiaIndia Tel 91 11 4556
6845