Los equipos globales de Respuesta a Emergencias (GERT) y de Análisis e Investigación (GReAT) de Kaspersky descubrieron un malware multiplataforma denominado NKAbuse. Esta amenaza avanzada, desarrollada en Go, utiliza la comunicación entre pares y funciona como flooder, inundando canales de la red con mensajes sin sentido, así como puerta trasera, otorgándole a los criminales el control del equipo infectado.
Durante la respuesta a un incidente reciente, los expertos de Kaspersky descubrieron un nuevo malware que explota la tecnología NKN, un protocolo de red peer-to-peer (orientado a blockchain), conocido por su descentralización y privacidad.
Kaspersky Security Network ha identificado víctimas potenciales de este ataque en Colombia, México y Vietnam.
NKAbuse es un implante híbrido que sirve como puerta trasera/RAT y flooder, lo que lo convierte en una doble y versátil amenaza. En su función de puerta trasera/RAT, NKAbuse proporciona a los atacantes acceso no autorizado a los sistemas de las víctimas, lo que les permite ejecutar comandos de forma encubierta, robar datos y monitorear actividades. Esta capacidad es especialmente valiosa para el espionaje y la filtración de datos. Al mismo tiempo, como flooder, es capaz de lanzar ataques DDoS destructivos, abrumando e interrumpiendo servidores o redes específicas, impactando significativamente en las operaciones de las organizaciones.
Las funciones avanzadas del malware se extienden a la captura de pantallas, la administración de archivos, la recuperación de información del sistema y de la red, así como la ejecución de comandos del sistema. Todos los datos recopilados se envían a su botmaster (el atacante que controla el malware) a través de la red NKN, utilizando la comunicación descentralizada para lograr un ataque sigiloso y eficiente.
El proceso de infiltración de NKAbuse comienza explotando la antigua vulnerabilidad RCE CVE-2017-5638, permitiendo a los atacantes obtener el control de los sistemas afectados. Una vez que lo tienen, el malware descarga un implante en el host de la víctima. Este implante se coloca inicialmente en el directorio temporal para su ejecución. NKAbuse establece entonces la persistencia mediante la creación de una tarea cron y se sitúa dentro de la carpeta de inicio del host, asegurando su funcionamiento continuo dentro del sistema.
“El uso del protocolo NKN por parte del implante subraya su avanzada estrategia de comunicación, permitiendo operaciones descentralizadas y anónimas, además de aprovechar las características de blockchain de NKN para una comunicación eficiente y sigilosa entre los nodos infectados y los servidores C2. Este enfoque complica los esfuerzos de detección y mitigación”, afirma Lisandro Ubiedo, investigador de seguridad del Equipo Global de Análisis e Investigación de Kaspersky.
La elección de Go permite la compatibilidad multiplataforma, lo que facilita a NKAbuse dirigirse a varios sistemas operativos y arquitecturas, incluidos los Linux de escritorio y los dispositivos IoT.
Este lenguaje de programación mejora el rendimiento del implante, particularmente en aplicaciones en red, garantizando un procesamiento eficiente y concurrente. Además, la capacidad de Go para producir binarios autónomos simplifica la implementación y mejora la robustez, haciendo de NKAbuse una herramienta formidable en el ámbito de las amenazas de ciberseguridad.
Para evitar ser víctima de un ataque dirigido por parte de un actor de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan:
- Actualizar con regularidad los sistemas operativos, aplicaciones y software antivirus de todos los dispositivos que se utilicen para corregir cualquier vulnerabilidad conocida.
- Proporcionar a su equipo SOC acceso a la inteligencia de amenazas (TI) más reciente.
- Capacitar a su equipo de ciberseguridad para hacer frente a las últimas amenazas dirigidas.
- Para la detección, investigación y reparación oportuna de incidentes a nivel de endpoints, implementar soluciones EDR.
- Investigar las alertas y amenazas identificadas por los controles de seguridad.
