Skip to main content

Eset, compañía especializada en detección proactiva de amenazas informáticas, presentó su investigación sobre el descubrimiento de LightNeuron, una puerta trasera de Microsoft Exchange que puede leer, modificar o bloquear cualquier correo electrónico que pase por el servidor de correo, e incluso redactar nuevos correos electrónicos y enviarlos bajo la identidad de cualquier usuario legítimo de la elección de los atacantes.

Según me informó la empresa en un comunicado, el código malicioso («malware») se controla de forma remota a través de correos electrónicos utilizando archivos adjuntos de archivos PDF y JPG esteganográficos.

LightNeuron apunta a los servidores de correo de Microsoft Exchange al menos desde 2014.

Los investigadores de Eset identificaron tres organizaciones de víctimas diferentes, entre ellas un ministerio de asuntos exteriores en un país de Europa oriental y una organización diplomática regional en el Medio Oriente.

Se trata del primer malware conocido que utiliza con propósitos delictivos el mecanismo del agente de transporte de Microsoft Exchange.

«En la arquitectura del servidor de correo, LightNeuron puede operar con el mismo nivel de confianza que los productos de seguridad, como los filtros de spam. Como resultado, este malware le da al atacante control total sobre el servidor de correo y, por lo tanto, sobre toda la comunicación del correo electrónico», explicó Matthieu Faou, el investigador de malware de Eset que realizó la investigación.

Los investigadores recopilaron evidencia que sugiere, con un alto nivel de certeza, que LightNeuron pertenece al grupo de espionaje Turla, también conocido como Snake.

Para hacer que los correos electrónicos de comando y control (C&C) parezcan inocentes, LightNeuron usa la esteganografía para ocultar sus comandos dentro de documentos PDF o imágenes JPG válidos.

La capacidad de controlar la comunicación por correo electrónico convierte a LightNeuron en una herramienta perfecta para la filtración sigilosa de documentos y también para controlar otras máquinas locales a través de un mecanismo de C&C que es muy difícil de detectar y bloquear.

«Debido a las mejoras de seguridad en los sistemas operativos, los atacantes necesitan persistencia en las herramientas que puedan vivir en el sistema objetivo, buscar documentos valiosos y desviarlos, todo sin generar sospechas. LightNeuron surgió como una la solución de Turla», concluyó Faou.

Los investigadores advierten que limpiar LightNeuron de una red no es una tarea fácil: eliminar spolo los archivos maliciosos no funciona, ya que rompería el servidor de correo electrónico.

El análisis detallado, que incluye la lista completa de Indicadores de compromiso y muestras, se puede encontrar en el documento de investigación Turla LightNeuron: One Email Away from Remote Code Execution aquí.

César Dergarabedian

Soy periodista. Trabajo en medios de comunicación en Buenos Aires, Argentina, desde 1986. Especializado en tecnologías de la información y la comunicación. Analista en medios de comunicación social graduado en la Universidad del Salvador. Ganador de los premios Sadosky a la Inteligencia Argentina en las categorías de Investigación periodística y de Innovación Periodística, y del premio al Mejor Trabajo Periodístico en Seguridad Informática otorgado por la empresa ESET Latinoamérica. Coautor del libro "Historias de San Luis Digital" junto a Andrea Catalano. Elegido por Social Geek como uno de los "15 editores de tecnología más influyentes en América latina".

Deja un comentario

A %d blogueros les gusta esto: