Gracias a las mejoras en seguridad de los sistemas operativos, el uso de rootkits ha estado en constante declive durante varios años. Por lo cual, los desarrolladores de malware, crean nuevos malwares para evadir las soluciones de seguridad.
Una investigación, deja al descubierto al grupo Turla, también conocido como Snake, WaterBug, WhiteBear, entre otros. Quienes estarían utilizando el backdoor LightNeuron, ha el cual está dirigido específicamente a los servidores de correo de Microsoft Exchange desde al menos 2014. Las principales víctimas se ubican en Brasil, Europa Oriental y Oriente Medio.
LightNeuron, es catalogado según los expertos como el primer malware específicamente dirigido a servidores de correo electrónico de Microsoft Exchange, el cual utiliza una técnica de persistencia nunca antes vista: un agente de transporte. En la arquitectura del servidor de correo, funciona con el mismo nivel de confianza que productos de seguridad, como por ejemplo, los filtros de spam.
Las características de este agente de transporte son los siguientes:
- Leer y modificar cualquier correo electrónico que pase por el servidor de correo.
- Redactar y enviar nuevos correos electrónicos.
- Bloquear cualquier email. Lo que se traduce en que el destinatario no recibirá el correo electrónico.
El controlador de comandos (command handler) es diferente de los otros que realizan modificaciones en correos de forma convencional. en esta ocasión, los comandos están ocultos en PDF o archivos adjuntos JPG utilizando esteganografía.
Los atacantes solo deben enviar un correo electrónico que contenga un documento PDF o una imagen JPG manipulada, hacia cualquier dirección de correo electrónico de la organización comprometida. Una vez que se haya hecho esto, se permite el control total sobre el servidor de Microsoft Exchange utilizando unos comandos predefinidos. Para más información sobre la investigación, consulta el link de referencia.
REFERENCIA
COMENTARIOS