Xwo, un malware que rastrea Internet en busca de vulnerabilidades
- Endpoint
La amenaza combina características de diferentes familias de malware como el ransomware, las botnets, los gusanos o el malware de cryptojacking, para explotar las brechas de seguridad. Medios de comunicación y varias empresas de ciberseguridad figuran entre los principales afectados.
Investigadores del Alien Labs de AT&T han descubierto Xwo, un nuevo malware que hace un rastreo activo por páginas webs y de servicios Internet para localizar aquellos que contienen vulnerabilidades o que atesoran contraseñas por defecto que pueden ser fácilmente vulnerables. Para ello combina características de diferentes familias de malware como el ransomware, las botnets, los gusanos o el malware empleado en ataques de cryptojacking.
Una vez localizados los sitios web vulnerables, Xwo recopila la información de las credenciales, contraseñas de servicios protegidos y copias de seguridad, entre otras cosas, y la envía a servidores de control a través de una solicitud HTTP POST. En dicho servidor, los ciberdelincuentes acceden a la información, la almacenan y dirigen sus propios ciberataques. En muchos casos se busca conseguir que los portales conocidos sean redirigidos a dominios de origen maligno (generalmente con extensión .tk) que robarán la máxima información posible. Si el resultado es exitoso, incluso pedirán dinero para restablecer los datos robados.
El objetivo de Xwo es obtener las credenciales del mayor número de personas posible, con lo que las grandes empresas de internet están en el objetivo de sus acciones. Medios de comunicación y varias empresas de ciberseguridad son varios de los principales afectados.
La existencia de Xwo es un verdadero peligro para todo tipo de empresas, más allá de su tipología o tamaño. Por ello, si quieren proteger su ciberseguridad, Panda Security aconseja a los administradores de red de las compañías que activen las medidas adecuadas, y que incluye cambiar las contraseñas por defecto que se instalaron en gran parte de sus servicios internos y cambiarlas por otras más complejas; apostar por soluciones que garanticen una vigilancia proactiva, y contengan y mitiguen ataques que explotan vulnerabilidades; y evitar que los servidores estratégicos no puedan ser fácilmente accesibles a través de Internet o que, al menos, ofrezcan una mayor resistencia ante posibles atacantes.
