Programari maliciós YamaBot

Programari maliciós YamaBot

El programari maliciós YamaBot és una amenaça perjudicial que s'està vinculant a l'organització cibercriminal APT (Amenaça persistent avançada) de Corea del Nord coneguda com a Grup Lazarus . Aquesta varietat de programari maliciós en particular està escrita en el llenguatge de programació Go i els seus objectius s'han localitzat principalment al Japó. Els ciberdelinqüents han creat diferents versions de YamaBot, en funció dels sistemes específics que volen infectar. Inicialment, YamaBot només es va aprofitar contra els servidors del sistema operatiu Linux, però s'ha descobert una versió més recent capaç d'afectar els dispositius del sistema operatiu Windows.

La funcionalitat exacta de YamaBot difereix entre les dues versions. Per començar, la informació inicial sobre el sistema infectat recopilada pel programari maliciós inclou noms d'amfitrió, noms d'usuari i adreces MAC a Windows i només noms d'amfitrió i noms d'usuari a Linux. A més, la versió de Linux només pot executar ordres de shell mitjançant /bin/sh.

No obstant això, a Windows, YamaBot pot obtenir llistes de fitxers i directoris, obtenir fitxers addicionals, modificar el temps de repòs del sistema, executar ordres de shell i esborrar-se de la màquina. Per raons desconegudes, els atacants han creat l'amenaça YamaBot per tornar els resultats de les ordres executades també en alemany. Pel que fa a la seva comunicació amb el servidor d'ordres i control de l'operació amenaçadora (C2, C&C), l'amenaça utilitza sol·licituds HTTP.

Loading...