Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Portes del darrere Tropidoor Porta del darrere

Tropidoor Porta del darrere

El Mezo el Portes del darrere, Amenaça persistent avançada (APT)
Traduir a:
Català

Tropidoor és un programa amenaçador que es classifica com a porta del darrere. Les portes del darrere són un tipus de programari maliciós dissenyat per proporcionar accés no autoritzat a un sistema compromès. Algunes variants també poden descarregar i instal·lar programari o components maliciosos addicionals, augmentant la gravetat d'un atac.

La connexió de Tropidoor amb BeaverTail i els actors d’amenaça de Corea del Nord

Tropidoor s'ha observat en campanyes d'atacs cibernètics juntament amb un programari maliciós de descàrrega i un altre programa nociu anomenat BeaverTail . Aquest últim està relacionat amb actors d'amenaça de Corea del Nord i s'ha utilitzat per apuntar a desenvolupadors, especialment a Corea del Sud.

Com es lliura Tropidoor: campanyes de pesca temàtiques de reclutament

Els ciberdelinqüents han distribuït Tropidoor mitjançant correus electrònics de pesca amb temes de reclutament. Aquests missatges fraudulents suplantaven les ofertes de feina de la comunitat DEV (dev.to) i contenien enllaços a un dipòsit de BitBucket que allotjava codi maliciós. El repositori incloïa BeaverTail i el descarregador que executa Tropidoor.

Més enllà de la comunitat DEV: LinkedIn i altres vectors d’atac

BeaverTail s'ha estès àmpliament a través de campanyes de pesca a LinkedIn, utilitzant ofertes de feina falses com a esquer. Tot i que aquestes campanyes s'han dirigit a usuaris de tot el món, la majoria de les víctimes sembla que es troben a Corea del Sud.

Tàctiques de distribució de programari maliciós: phishing, publicitat maliciosa i més

El programari maliciós com Tropidoor es distribueix normalment a través de:

  • Correus electrònics de pesca amb fitxers adjunts o enllaços no segurs
  • Descàrregues drive-by des de llocs web compromesos
  • Malvertising (anuncis no segurs que desencadenen descàrregues)
  • Fonts de programari poc fiables, com ara llocs de programari gratuït i xarxes P2P
  • Programari piratejat i eines d'activació il·legals (cracks)
  • Actualitzacions de programari falses
  • Mecanismes d'autodifusió mitjançant xarxes locals o unitats USB

BitBucket Deception: la tàctica de pesca

Un altre intent de pesca va implicar correus electrònics que suplantaven una empresa anomenada AutoSquare. Es va demanar a les víctimes que clonessin un projecte BitBucket, que contenia un paquet npm que contenia tant BeaverTail com un programari maliciós de descàrrega de DLL disfressat de car.dll. Aquest descarregador s'ha executat mitjançant un lladre i carregador basat en JavaScript.

Capacitats de Tropidoor: una poderosa arma cibernètica

Un cop executat, Tropidoor opera a la memòria i interactua amb el seu servidor de comandament i control (C2). Això li permet:

  • Recolliu informació del sistema (nom del dispositiu, detalls del sistema operatiu, informació del maquinari)
  • Gestionar fitxers (cercar, suprimir, descarregar, recopilar)
  • Executar i finalitzar processos
  • Captura de captures de pantalla
  • Injecteu codi maliciós als processos en execució
  • Carregar i executar càrregues útils a la memòria

Una amenaça en evolució: el futur de Tropidoor

Els desenvolupadors de programari maliciós milloren sovint les seves eines i les futures versions de Tropidoor podrien introduir noves funcionalitats. Aquesta evolució fa que sigui fonamental que els equips de ciberseguretat es mantinguin vigilants davant les amenaces emergents.

La connexió del grup Lazarus: una tàctica familiar

Tropidoor comparteix similituds amb LightlessCan , un altre programari maliciós utilitzat pel Grup Lazarus , una organització de pirateria afiliada a Corea del Nord. Igual que el seu predecessor, BLINDINGCAN (també conegut com AIRDRY o ZetaNile), Tropidoor implementa directament ordres de Windows com schtasks, ping i reg per combinar-se amb l'activitat legítima del sistema.

Protegiu-vos: manteniu-vos a salvo dels atacs de Tropidoor

Per reduir el risc d'infecció, els usuaris haurien de:

  • Aneu amb compte amb els fitxers adjunts i els enllaços de correu electrònic
  • Eviteu descarregar programari de fonts no verificades
  • Manteniu les correccions de seguretat i el programari actualitzats
  • Utilitzeu contrasenyes úniques i fortes
  • Utilitzeu eines de protecció de punt final i antiprogramari maliciós de bona reputació

En mantenir-se alerta i seguint les millors pràctiques de ciberseguretat, les persones i les organitzacions poden defensar-se millor contra amenaces sofisticades com Tropidoor.

Tendència

Més vist

Carregant...