{"id":23001,"date":"2021-10-01T10:31:39","date_gmt":"2021-10-01T16:31:39","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=23001"},"modified":"2021-10-01T10:31:39","modified_gmt":"2021-10-01T16:31:39","slug":"tomiris-backdoor","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/tomiris-backdoor\/23001\/","title":{"rendered":"La puerta trasera Tomiris"},"content":{"rendered":"

Nuestros expertos encontraron una nueva puerta trasera que los cibercriminales ya utilizan en ataques dirigidos. Esta puerta trasera, llamada Tomiris, guarda gran parecido con el malware<\/em> Sunshuttle (tambi\u00e9n conocido como GoldMax) que DarkHalo (tambi\u00e9n conocido como Nobelium) utiliz\u00f3 en un ataque de cadena de suministro contra los clientes de SolarWinds.<\/p>\n

Capacidades de Tomiris<\/h2>\n

La tarea principal de la puerta trasera Tomiris es entregar malware<\/em> adicional a la m\u00e1quina de la v\u00edctima. Est\u00e1 en comunicaci\u00f3n constante con el servidor C&C de los cibercriminales y descarga archivos ejecutables, los que a su vez se ejecutan con argumentos espec\u00edficos desde ah\u00ed.<\/p>\n

Nuestros expertos tambi\u00e9n encontraron una variante que roba archivos. El malware<\/em> seleccionado recientemente cre\u00f3 archivos con ciertas extensiones (.doc, .docx, .pdf, .rar, entre otras), despu\u00e9s las descarg\u00f3 en el servidor C&C.<\/p>\n

Los creadores de la puerta trasera la proveyeron de varias funciones para enga\u00f1ar a las tecnolog\u00edas de seguridad y confundir a los investigadores. Por ejemplo, tras la entrega, el malware<\/em> no hace nada durante 9 minutos, un retraso que probablemente tenga como intenci\u00f3n enga\u00f1ar a los mecanismos de detecci\u00f3n basados en espacios aislados<\/a>. Adem\u00e1s, la direcci\u00f3n del servidor C&C no est\u00e1 codificada directamente en Tomiris; la URL y la informaci\u00f3n del puerto vienen de un servidor de se\u00f1alizaci\u00f3n.<\/p>\n

C\u00f3mo entra Tomiris a las computadoras<\/h2>\n

Para entregar la puerta trasera, los cibercriminales utilizan secuestro de DNS<\/a> para redirigir el tr\u00e1fico desde los servidores de correo de las organizaciones objetivo a sus propios sitios maliciosos (probablemente al obtener credenciales para el panel de control en el sitio del registrador de dominios). De esta manera, pueden atraer a los clientes a una p\u00e1gina que se parezca a la p\u00e1gina de inicio de sesi\u00f3n real del servicio de correo. Como es natural, cuando alguien ingresa credenciales en la p\u00e1gina falsa, los malhechores de inmediato obtienen esas credenciales.<\/p>\n

Por supuesto, los sitios en ocasiones solicitan a los usuarios instalar una actualizaci\u00f3n de seguridad para funcionar. En este caso, la actualizaci\u00f3n fue en realidad un downloader<\/em> para Tomiris.<\/p>\n

En nuestra publicaci\u00f3n de Securelist<\/a> puedes encontrar m\u00e1s detalles t\u00e9cnicos sobre la puerta trasera de Tomiris, junto con los indicadores de compromiso y las similitudes observadas entre Tomiris y las herramientas de DarkHalo.<\/p>\n

C\u00f3mo mantenerse seguro<\/h2>\n

El m\u00e9todo de entrega de malware<\/em> que ya describimos no funcionar\u00e1 si la computadora que accede a la interfaz web de correo est\u00e1 protegida por una soluci\u00f3n de seguridad<\/a> s\u00f3lida. Adem\u00e1s, cualquier actividad de los operadores de APT en la red corporativa puede detectarse con ayuda de los expertos que alimentan Kaspersky Managed Detection and Response<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

En la conferencia SAS 2021, nuestros expertos hablaron sobre la puerta trasera Tomiris, la cual parece estar vinculada al grupo DarkHalo.<\/p>\n","protected":false},"author":2581,"featured_media":18530,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539],"tags":[122,5453,783,5452,1710],"class_list":{"0":"post-23001","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-darkhalo","11":"tag-sas","12":"tag-sas-2021","13":"tag-security-analyst-summit"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/tomiris-backdoor\/23001\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/tomiris-backdoor\/23437\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/tomiris-backdoor\/18910\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/tomiris-backdoor\/9466\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/tomiris-backdoor\/25503\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/tomiris-backdoor\/23581\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/tomiris-backdoor\/26156\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/tomiris-backdoor\/25712\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/tomiris-backdoor\/31600\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/tomiris-backdoor\/10112\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/tomiris-backdoor\/42239\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/tomiris-backdoor\/17824\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/tomiris-backdoor\/18271\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/tomiris-backdoor\/15371\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/tomiris-backdoor\/27511\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/tomiris-backdoor\/31733\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/tomiris-backdoor\/27661\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/tomiris-backdoor\/29792\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/tomiris-backdoor\/29591\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23001","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=23001"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23001\/revisions"}],"predecessor-version":[{"id":23005,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23001\/revisions\/23005"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/18530"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=23001"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=23001"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=23001"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}