Milum, un peligroso troyano que obtiene el control remoto de dispositivos

  • Endpoint

Distribuido a través de la campaña WildPressure, el malware permite a un atacante tomar el control del sistema comprometido desde cualquier lugar. Investigadores de Kaspersky creen que la mayoría de los objetivos de esta campaña aún activa se encuentran en Oriente Medio.

Los expertos del Equipo de Investigación y Análisis de Kaspersky (GReAT) han descubierto una campaña dirigida a distribuir Milum, un troyano que obtiene el control remoto de dispositivos de distintas organizaciones, incluidas las del sector industrial. Esta operación sigue activa y se ha denominado WildPressure.

Recomendados: 

Informe IT Trends: 2020, el año de la consolidación digital Leer

Ciberseguridad en 2020, ¿qué podemos esperar? Registro

Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Las amenazas persistentes avanzadas (APT) suelen asociarse a ciberataques muy sofisticados. Con frecuencia, el atacante obtiene secretamente acceso a un sistema para robar información o interrumpir su funcionamiento normal. WildPressure responde a esa tendencia.

Hasta el momento, el equipo de investigación había podido obtener varias muestras casi idénticas del troyano Milum que no comparten ninguna similitud de código con otras campañas maliciosas conocidas. Todas ellas poseen sólidas capacidades para la gestión remota de dispositivos, lo que significa que una vez que un sistema se ha comprometido, un atacante puede tomar el control desde cualquier lugar. En concreto, el troyano puede descargar y ejecutar los comandos, recopilar información variada del dispositivo atacado y enviarlas al servidor de comando y control, y actualizarse a sí mismo a una versión más reciente.

El equipo GReAT de Kaspersky fue testigo por primera vez de la propagación del troyano "Milum" en agosto de 2019. El análisis del código del malware mostró que las tres primeras muestras fueron creadas en marzo de 2019. Basándose en la telemetría disponible, los investigadores de Kaspersky creen que la mayoría de los objetivos de esta campaña se encuentran en Oriente Medio, y la campaña está todavía activa.

"Hasta ahora, no hemos visto ninguna pista que apoye la idea de que las intenciones de los atacantes de WildPressure vayan más allá de reunir información de las redes atacadas. Sin embargo, esta campaña todavía se está desarrollando activamente, y ya hemos descubierto nuevas muestras maliciosas aparte de las tres descubiertas originalmente. En este momento, no sabemos qué sucederá a medida que WildPressure vaya desarrollándose, pero seguiremos vigilando su progresión", señala el investigador principal de seguridad Denis Legezo.