Investigadores creen que el troyano Winnti, que actúa como puerta trasera, pudo ser utilizado en conjunto con el malware llamado ndash Skeleton key, que se instala como un parche en la memoria de los controladores de dominio de Active Directory.
A principios de mes, los investigadores de seguridad de DELL, conocidos como DELL Secure Counter Thread Unit, descubrieron Skeleton Key, señalaron que el malware era capaz de evitar la autenticación en sistemas que utilizan solo contraseñas o autenticación de un factor para el acceso de Active Directory.
Sin embargo, para ejecutar el malware, los atacantes requieren acceso a la cuenta del administrador de dominio, dijo la firma de seguridad, esto explica la evidencia de Symantec, quienes detercaron a la puerta trasera Winnti (a la que llamaron Skelky) en una computadora infectada por el malware Skeleton Key.
«En la mayor parte de las compañías que fueron analizadas, prácticamente no había rastro de otro malware activo al mismo tiempo que Skelky» comentó Gavin O’Gorman.» Sin embargo existían dos computadoras que contenían otro tipo de malware en estado activo, en el mismo directorio y al mismo tiempo que Trojan.Skelky» resaltó el investigador.
Es destacable que Symantec haya encontrado dos archivos maliciosos en una sola computadora víctima. Un archivo era una variante de Winnti y el otro archivo era el encargado de colocar la puerta trasera, describe O’Gorman.
En una entrevista el jueves con el sitio de noticias SCMagazine.com Eric Chien, director técnico senior de Symantec, dijo que los informes iniciales sobre Skeleton Key estaban «ignorando una pieza del rompecabezas», que puede ser el troyano encargado de la puerta trasera que los investigadores finalmente encontraron
«¿Cómo fue que Skelky pudo llegar ahí, si por sí mismo era inservible? A través de nuestra telemetría estamos viendo que los atacantes también estaban usando Winnti en combinación con Skelky. Esto les permitió el acceso remoto en la máquina para hacer lo que quieran, como la instalación de Skelky», explicó Chien.
Cuando Dell SecureWorks descubrió Skeleton Key, los investigadores revelaron que una organización con base en Londres había sido infectada mediante un troyano de acceso remoto para garantizar el acceso continuo de los atacantes.
Fuente: http://www.scmagazine.com/
Fecha de consulta: 04 Febrero 2015
