Investigadores de seguridad han identificado una nueva familia de malware llamada YiBackdoor, que parece ser una evolución o un esfuerzo del mismo grupo detrás de los conocidos malwares IcedID y Latrodectus. Aunque sus detecciones son escasas por ahora, YiBackdoor podría estar en una fase de prueba para futuras campañas de gran escalada, posiblemente como punto de entrada para ransomware.
Capacidades técnicas de YiBackdoor
YiBackdoor es un malware con una arquitectura modular basada en complementos, lo que les permite a los atacantes expandir su funcionalidad en el sistema infectado. Sus capacidades incluyen:
- Ejecución de comandos arbitrarios: Puede ejecutar comandos a través de cmd.exePowerShell.
- Recolección de información del sistema: Roba datos del sistema y toma capturas de pantalla.
- Persistencia: Se mantiene en el sistema a través de la clave de registro Runde Windows y se inyecta en el proceso svchost.exepara pasar desapercibido.
- Evasión de detección: Usa técnicas avanzadas para evitar ser detectados en entornos virtualizados y sandboxes. Además, una vez instalado, el malware se autoelimina para dificultar el análisis forense.
La dirección del servidor de mando y control (C2) de YiBackdoor está oculta en su configuración cifrada. Una vez que se conecta, espera instrucciones para realizar tareas como obtener datos del sistema, capturar pantallas o implementar nuevos complementos.
Relación con IcedID y Latrodectus
Los investigadores de Zscaler ThreatLabz encontraron similitudes en la metodología de inyección de código, el tipo de cifrado usado y las rutinas de descifrado de complementos y configuraciones. Esto sugiere un posible vínculo entre los tres malwares. Se sospecha que YiBackdoor podría usarse para obtener el acceso inicial y luego introducir cargas más dañinas.
Recomendaciones
- Monitorea los comportamientos anómalos: Configura alertas para detectar procesos que inyectan código en svchost.exe, cambios en el registro Runy el uso inusual de regsvr32.exe.
- Utiliza herramientas de EDR: Asegúrate de que tus herramientas de detección y respuesta de endpoints (EDR) puedan detectar técnicas de evasión y la ejecución de complementos. Activa el análisis de memoria para detectar ataques fileless (sin archivos en disco).
- Mantén tus sistemas actualizados: Parchea tus sistemas y software para cerrar las vulnerabilidades conocidas que podrían ser explotadas por el malware.
- Revisa la inteligencia de amenazas: Mantente al tanto de los indicadores de compromiso (IoCs) relacionados con IcedID y Latrodectus, ya que podrían ser relevantes para YiBackdoor.
