El malware COMpfun utiliza códigos de error HTTP como comandos

Se ha detectado una nueva variante del troyano de acceso remoto (RAT) COMpfun que utiliza como comandos los códigos de error HTTP que el servidor de control le devuelve.

Esta familia de troyanos de acceso de remoto fue detectada por G-Data en 2014. Kaspersky detecto en 2019 otro troyano que mostraba muchas similitudes a nivel de código con respecto a COMpfun, y que permitía realizar ataques ‘man-in-the-middle’ en conexiones cifradas. Aunque este último fue bautizado como Reductor.

La última versión de COMpfun ha sido descubierta por Kaspersky, e implementa todas las funcionalidades que requiere un RAT. Este malware permite recopilar información sobre la geolocalización y sobre el sistema infectado. En cuanto al robo de información más sensible, el troyano permite registrar las pulsaciones de teclas (keylogger), además de realizar capturas de pantalla.

COMpfun infection chain
Estrategia de infección. Imagen: Kaspersky

Además de robar información, este malware es capaz de infectar otros dispositivos. Para ello, monitoriza la conexión de dispositivos USB y se propaga en las memorias USB extraibles.

Para la recepción y ejecución de comandos desde el servidor de control, el troyano comprueba los códigos de estado con los que responde el servidor. A continuación una lista de los códigos de estado y la acción que desencadenan:

  • 200: Envío de información recopilada al C2.
  • 402: Indica que se deben utilizar los códigos de estado HTTP como comandos.
  • 422: Desinstalación del troyano.
  • 423: Instalación del troyano (copia los ficheros del troyano y configura el sistema para que sea iniciado al iniciar el equipo)
  • 424: Solicita el envío de información sobre el equipo.
  • 427: Almacenar comando en fichero temporal, descifrar y ejecutar. Junto al código de estado se indica el comando a ejecutar.
  • 428: Propagación a dispositivos USB.
  • 429: Enumerar los recursos de red.

Los atacantes utilizan una aplicación de visados para distribuir su creación, aunque en realidad no se trata de una aplicación de visados, sino de este malware.

Más información:

Fuente: https://securelist.com/compfun-http-status-based-trojan/96874/

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.