Global Preloader
Noticia Internacional
(06/Jun/2018) Socket.io es utilizado como Backdoor

Socket.io es utilizado como Backdoor

Un troyano de acceso remoto recientemente descubierto utiliza una biblioteca de programas especializados que permite a los operadores interactuar directamente con las máquinas infectadas, sin un mensaje de "beacon" inicial, informes de G Data.

Conocida como SocketPlayer, la puerta trasera se destaca porque no utiliza el típico sistema de comunicación unidireccional que utilizan la mayoría de los troyanos bancarios, puertas traseras y registradores de pulsaciones. En cambio, emplea la biblioteca socket.io, que permite la comunicación bidireccional en tiempo real entre las aplicaciones.

Debido a esta característica, el manejador de malware ya no tiene que esperar que la máquina infectada inicie la comunicación, el operador de malware puede ponerse en contacto con la computadora comprometida por su cuenta.

Los investigadores de seguridad de G Data observaron dos variantes de SocketPlayer, una actuando como un descargador capaz de ejecutar código arbitrario desde un sitio web, mientras que la otra presenta capacidades más complejas, incluyendo mecanismos de detección y evasión de espacio aislado (Sandbox).

La primera variante de SocketPlayer se envió por primera vez a VirusTotal el 28 de marzo, con una segunda muestra enviada el 31 de marzo, explica G Data en un informe técnico (https://file.gdatasoftware.com/web/en/documents/whitepaper/G_DATA_SocketPlayer_Analysis.pdf).

Los investigadores de seguridad también notaron que las dos variantes de la puerta trasera pasaban por una serie de cambios entre muestras, como el uso de un nuevo comando y puerto de control, nuevas ubicaciones de archivos, información diferente enviada en la rutina inicial, nuevos comandos añadidos al servidor, y nueva funcionalidad incluida en el malware.