Un nuevo malware roba información de tu PC incluso si no tienes Internet

Un nuevo malware roba información de tu PC incluso si no tienes Internet

Alberto García

Conseguir información de ordenadores a distancia sin conectar nada es algo que lleva realizándose años. Investigadores de Israel han conseguido obtener información a distancia en diversas investigaciones, y ahora un malware utiliza una técnica similar a las suyas para robar la información de un ordenador a través de su puerto USB.

El malware, conocido como CCycldek (también como Goblin Panda o Conimes), ha añadido nuevas funcionalidades según ha descubierto Kaspersky en ataques llevados a cabo en Vietnam, Tailandia y Laos. Este malware fue descubierto por primera vez en 2013, atacando a infraestructuras militares, energéticas y gubernamentales en países del sudeste asiático; sobre todo Vietnam. Para infectar los ordenadores, se utilizan documentos modificados que aprovechan vulnerabilidades conocidas de Office como CVE-2012-0158, CVE-2017-11882 o CVE-2018-0802, introduciendo el malware NewCore RAT.

Malware diseñado para atacar ordenadores sin Internet

Este malware se divide en dos variantes llamadas BlueCore y RedCore, con similitudes a nivel de código y estructura, pero cada una con funciones específicas. Por ejemplo, RedCore contiene un keylogger y un RDP logger para capturar información sobre los usuarios conectados por RPD.

Después de la infección, ambos descargaban diversas herramientas adicionales para facilitar “movimientos laterales” e introducir más malware. Entre ellos encontramos el uso de HDoor, popular en los foros de hackeo chinos para escanear redes internas y crear túneles en ordenadores hackeados para evitar detecciones de red y saltarse proxies. Gracias a ello, pueden extraer información del ordenador aislado si éste es accesible desde una red local pero no está conectado de manera directa a Internet.

Otras herramientas presentes para extraer información son JsonCookies y ChromePass, utilizadas para robar cookies de bases de datos SQLite para el primero, y para robar contraseñas guardas en el navegador en el caso del segundo. Además, entre esas herramientas adicionales se encuentra USBCulprit, capaz de escanear diversas rutas del ordenador buscando archivos PDF, DOC, WPS, DOCX, PPT, XLS, XLSX, PPTX y RTF y exportarlos a una unidad USB conectada al ordenador.

Copia toda la información a un USB

Además, el malware está programado para copiarse a su vez a distintas unidades USB para ir copiándose a otros ordenadores cada vez que se inserte una unidad USB, ya que en estos ordenadores se suelen introducir memorias para trabajar o introducir nuevos archivos porque éstos están aislados del resto de Internet por motivos de seguridad.

La información que el malware copia a la unidad USB es cifrada en un archivo .RAR que luego el atacante puede descomprimir. Para infectar el ordenador, se aprovecha de los binarios maliciosos que imitan a componentes no maliciosos de los antivirus. Así, este malware está diseñado específicamente para obtener archivos de ordenadores que no tienen conexión a Internet, usados por ejemplo por gobiernos.

Desde Kaspersky afirman que esperan que los ataques con este malware sigan produciéndose, ya que el malware cada vez añade más funcionalidades y va adaptándose para saltarse la detección por parte de los antivirus.