Servidor C & C estaba alojado en una dirección IP Hong Kong

F-Secure, un proveedor de seguridad cibernética con sede en Estados Unidos, informa sobre un incidente que tuvo lugar pocos días antes de la tercera Cumbre de la ASEAN-Estados Unidos el 21 de noviembre de 2015.

Según los datos recogidos, F-Secure está revelando que el sitio web los EE.UU.-ASEAN (Asociación de Naciones del Sudeste Asiático) de la cumbre se ha visto comprometida por los actores maliciosos.

Los investigadores de seguridad dicen que el subdominio del Centro de Recursos de la Secretaría (ARC) se vio afectado y que los hackers se las arregló para tener acceso al servidor y código malicioso añadido al final de un archivo JavaScript. Además, un espejo del archivo de comandos comprometido también estaba alojado en una dirección IP remota y se carga como una copia de seguridad (por ahora).

Cuando este guión fue ejecutado en el navegador de la víctima, sería redirigir a los usuarios a la IP 43.240.119.35 (basado Kong Hong), donde el archivo «la tercera ASEAN Defensa Meeting.rar Ministros» fue descargado en el PC del usuario.

Desembalaje Este archivo podría infectar la computadora con spyware malicioso, detectado como Backdoor: W32 / Wonknu.A.

Este es un backdoor simple que se hace pasar por la versión de Kaspersky antivirus, pero en realidad va de «C: \ Datos de programa \ kav.exe.»

Según el análisis de F-Secure, la puerta trasera se conecta a 43.240.119.40:443, desde donde los atacantes pueden lanzar varios comandos. La puerta trasera permite que traen detalles locales de PC, descargar o cargar archivos, ejecutar archivos locales, crear o borrar archivos, crear directorios, ejecutar comandos de shell, lista o terminan los procesos del sistema operativo.

Este backdoor particular fue visto por primera vez en agosto pasado cuando estaba tratando de hacerse pasar como un ejecutable Java (Javaw.exe).