Taidoor, el nuevo troyano de acceso remoto creado por China

Tres agencias del gobierno americano publicaron una alerta relacionada con el lanzamiento de nuevas versiones de Taidoor, una variante de malware vinculada a los ataques desplegados por los actores de amenazas patrocinados por el gobierno de China. La alerta fue emitida por la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), en conjunto con el Comando Cibernético del Departamento de Defensa (CyberCom) y el Buró Federal de Investigaciones (FBI)

Desde hace algunos meses estas tres agencias han publicado múltiples informes sobre las más peligrosas amenazas de seguridad y ataques de malware afectando a organizaciones públicas y privadas en Estados Unidos. La primera notificación, lanzada en febrero de 2020, se refería a seis nuevas familias de ransomware desarrolladas por hackers norcoreanos.

FUENTE: CISA

Respecto a Taidoor, estas agencias aseguran que el malware existe desde 2008, aunque constantemente se crean nuevas versiones y actualizaciones. Las últimas versiones detectadas se remontan a 2013, cuando firmas como FireEye y Trend Micro comenzaron a detectar la presencia del malware en múltiples incidentes; otros investigadores han bautizado a este malware como Taurus RAT.

Los investigadores han detectado la presencia de Taidoor en ataques recientes. Al parecer, las nuevas muestras del malware incluyen versiones para sistemas de 32 y 64 bits y se instalan en los sistemas de los usuarios atacados en forma de DLL. A su vez, el DLL contiene dos archivos adicionales: “El primer archivo es un loader, iniciado como servicio. Este loader descifra el segundo archivo y lo ejecuta en la memoria del sistema objetivo”, menciona la alerta.

Una vez completada la ejecución, los actores de amenazas podrán acceder a los sistemas comprometidos y extraer datos confidenciales, instalar otras variantes de malware, entre otros ataques. El FBI asegura que el malware se implementa junto con servidores proxy para ejecutar su origen real.

La alerta emitida por estas agencias también incluye algunos consejos para la mitigación de ataques y protocolos de respuesta a incidentes en caso de que el malware logre ejecutarse en los sistemas de las víctimas. Algunas muestras de Taidoor también están disponibles en la plataforma VirusTotal, por lo que los investigadores podrán aprender algunas características de esta nueva amenaza.