Porta del darrere de Saitama

Els investigadors de ciberseguretat han descobert una nova amenaça de la porta del darrere que s'està estenent mitjançant fitxers adjunts de correu electrònic armats. Anomenada Saitama Backdoor, l'objectiu de l'amenaça és establir un punt de suport al sistema objectiu i permetre als atacants ampliar encara més el seu abast amb càrregues útils de la següent etapa.

L'amenaça Saitama Backdoor està escrita en .NET i explota el protocol DNS, com a mitjà per comunicar-se amb els seus servidors de comandament i control (C2, C&C). Un cop desplegada al sistema, l'amenaça pot reconèixer i executar més de 20 ordres entrants dels atacants. Els actors de l'amenaça poden utilitzar Saitama per recopilar informació del sistema diversa, com ara l'adreça IP i la versió del sistema operatiu, així com detalls sobre l'usuari actiu actualment, inclosos el seu grup i privilegis.

No obstant això, la funcionalitat principal de Saitama és la capacitat de manipular el sistema de fitxers del dispositiu trencat. L'amenaça de programari maliciós pot seleccionar fitxers escollits i exfiltrar-los als servidors C2. A la inversa, també pot obtenir i desplegar fitxers addicionals al sistema, incloses més càrregues útils de programari maliciós. Depenent de l'objectiu específic dels atacants, poden oferir recopiladors d'informació més especialitzats, ransomware, criptominedors o altres tipus de programari maliciós al dispositiu de la víctima.