Los investigadores de G Data descubren: el malware de Java copia las contraseñas y también permite el control remoto a través de RDP.
Un malware recientemente descubierto desarrollado en Java puede copiar datos de acceso, controlar de forma remota la computadora de la víctima y ejecutar otros comandos. El componente de ransomware integrado aún no es completamente funcional.
Analistas de G DATA CyberDefense advierten sobre nuevo malware desarrollado en Java. Si el malware está activo en un sistema, los delincuentes pueden leer las contraseñas de los navegadores y programas de correo electrónico. Además, dado que el malware tiene una capacidad de acceso remoto (RAT), un atacante puede tomar el control del sistema infectado de forma remota. Para esto se utiliza el Protocolo de escritorio remoto (RDP), una versión modificada de la herramienta "rdpwrap" (https://github.com/stascorp/rdpwrap) se descarga en segundo plano. El acceso RDP oculto es posible en la versión modificada.
Además, el malware tiene un componente de ransomware rudimentario, todavía en la actualidad. Sin embargo, hasta ahora no se ha realizado ningún cifrado aquí, solo un cambio de nombre de los archivos. Dado que el malware se desarrolla constantemente, esto podría cambiar en futuras versiones.
Inesperado: nuevo malware Java
"El malware actual es inusual, no hemos visto ningún nuevo malware de Java durante mucho tiempo", dice Karsten Hahn, analista de virus de G DATA. "Con el malware que analizamos, ya estamos viendo intentos de infección en nuestros clientes".
Con la ruta de infección actual, el malware no puede ejecutarse sin Java. Se puede suponer que quien escribió el software experimentó. Sin embargo, ya existe una función que descarga e instala Java Runtime Environment justo antes de infectarse con el malware de Java. Cualquiera que ya tenga una versión de Java Runtime Environment (JRE) instalada en su computadora es vulnerable a una infección.
El acceso RDP es tradicionalmente un medio popular para que los delincuentes obtengan acceso a los sistemas en las redes de la empresa. Las empresas, a su vez, utilizan el acceso RDP para trabajos de mantenimiento y, en ocasiones, para trabajo remoto. Por lo tanto, dentro de una red corporativa, se debe tener cuidado de vigilar de cerca el tráfico RDP para poder detectar cualquier anomalía de inmediato. Se pueden encontrar más detalles técnicos y gráficos. en el artículo de Techblog en inglés nuestro analista Karsten Hahn.
Más sobre esto en GData.de