Nuevo malware de puerta trasera Buterat detectado en redes empresariales y gubernamentales
Los investigadores de ciberseguridad del Equipo de Inteligencia de Amenazas Lat61 de Point Wild han publicado nuevos hallazgos sobre una operación altamente maliciosa conocida como Backdoor.Win32.Buterat . El programa está diseñado para infecciones a largo plazo, lo que permite a los atacantes vulnerar redes, robar información confidencial e instalar herramientas maliciosas adicionales.
Una vez que infecta un dispositivo específico, a menudo a través de un correo electrónico de phishing o una descarga maliciosa falsa, se oculta dentro de los procesos normales del sistema y realiza cambios en las claves de registro para sobrevivir a los reinicios y permanecer en su lugar.
Según los investigadores, la puerta trasera Buterat se detectó inicialmente atacando redes gubernamentales y empresariales. En una entrada de blog compartida con Hackread.com antes de su publicación, los investigadores señalaron que la puerta trasera Buterat utiliza técnicas avanzadas de manipulación de procesos e hilos, como SetThreadContext y ResumeThread, para secuestrar el flujo de ejecución, evitando así las alertas que suelen buscar los sistemas de seguridad.
Peor aún, Buterat también es capaz de eludir los sistemas de autenticación de los que dependen la mayoría de los dispositivos. La puerta trasera se comunica con servidores remotos de comando y control (C2) mediante canales cifrados y ofuscados, lo que dificulta enormemente su detección mediante la monitorización normal de la red.
Durante las pruebas en vivo, los investigadores observaron que el malware infectaba múltiples cargas útiles con los sistemas infectados. Archivos con nombres como amhost.exe y bmhost.exe se ubicaban en el directorio de usuario de Windows, cada uno diseñado para mantener el control y aumentar las capacidades de los atacantes responsables de la operación.
A esto le siguieron intentos de contactar con un servidor C2 alojado en ginomp3.mooo.com , que actúa como centro de control remoto para la exfiltración y la ejecución de comandos adicionales.
El Dr. Zulfikar Ramzan , director técnico de Point Wild, lo resumió con una advertencia: «Buterat habla con suavidad, pero tiene un gran garrote. Esta puerta trasera secuestra hilos legítimos, se integra como un proceso normal y llama discretamente a casa».
¿Qué pueden hacer las empresas para proteger sus sistemas contra Buterat? Los expertos recomiendan usar protección de endpoints, herramientas de análisis de comportamiento y monitorización de red, especialmente para identificar dominios sospechosos como el asociado con la puerta trasera Buterat.
La formación de los empleados y el sentido común también son factores clave para combatir el malware y los ataques de phishing. Dado que los correos electrónicos de phishing y los archivos adjuntos maliciosos siguen siendo métodos de entrega comunes, es necesario capacitar a los empleados para detectar mensajes sospechosos. Evitar las descargas de software troyanizado de fuentes no verificadas es otra medida para limitar la exposición.
HackRead
