Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

WellMess, el malware que afecta tanto a Windows como a Linux

  • Endpoint

seguridad ataque malware

Como la mayoría de programas maliciosos, Wellmess se comunica con su servidor de comando y control y descarga comandos para llevar a cabo una serie de acciones. Puede descargar y ejecutar comandos de shell arbitrarios. En el caso de Windows podría ejecutar scripts de PowerShell.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Linux es considerado como un sistema operativo más seguro, debido a que los cibercriminales tienden a centrarse en plataformas en la que hay más usuarios, como Windows. Además, lo normal es que un malware esté diseñado para un sistema determinado. Pero WellMess es un nuevo malware con capacidad multiplataforma, pudiendo atacar a Windows y a Linux.

Según JPCERT, si bien la funcionalidad básica de ambas versiones del malware sigue siendo la misma, existen algunas diferencias menores. Al igual que otros programas maliciosos, WellMess se comunica con su centro de comando y control (C&C) y descarga comandos para realizar otras acciones., como cargar y descargar archivos y ejecutar comandos de shell arbitrarios. La versión de Windows además tiene la capacidad de ejecutar scripts de PowerShell.

Los comandos se envían a los dispositivos infectados en forma de solicitud HTTP Post cifrada por RSA; los datos del encabezado de la cookie están codificados en RC6. Pero eso no es todo. WellMess también tiene una versión desarrollada en .Net Framework. Los datos de las cookies en la versión de .Net son los mismos que los de la versión Go.

WellMess ha afectado a empresas japonesas, aunque no está claro si los ataques están dirigidos exclusivamente a Japón, o si grupos o individuos fuera de Japón se han visto afectados. Los servidores de C&C que controlan los sistemas infectados se encuentran en Lituania, los Países Bajos, Suecia, Hong Kong y China. JPCERT informa que los ataques que usan este malware se siguen produciendo.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos