“PlugX Malware.”

Identificado por primera vez en 2012, PlugX es un troyano de acceso remoto (RAT) conocido por ser utilizado contra instituciones gubernamentales de alto perfil y otras organizaciones. PlugX ha evolucionado y también se ha visto como Korplug, SOGU y DestroyRAT. La funcionalidad principal del malware es:

Proporcione acceso persistente a los adversarios. Realice la vigilancia de las máquinas infectadas. Comuníquese con un servidor de comando y control. Secuestra ejecutables legítimos e inyecta código malicioso. Desde que PlugX se identificó por primera vez en 2012, ha mutado en complejidad y técnicas de explotación.

Con capacidades para hacerse pasar por procesos auténticos y realizar un reconocimiento extenso en las máquinas infectadas, no es de extrañar que PlugX sea común para ser utilizado en ataques dirigidos avanzados. Sin embargo, la funcionalidad principal se ha mantenido igual a lo largo de la evolución del malware. TLDR: esta publicación de blog revisa un análisis de alto nivel de una muestra de malware PlugX recientemente descubierta.

El malware que se analiza en este blog publicado se descubrió mientras se respondía a un incidente relacionado con un servidor web comprometido de una institución académica. Los atacantes utilizaron una carpeta llamada / temp / ubicada en el directorio raíz de las máquinas comprometidas para almacenar el malware PlugX. Los principales ejecutables de Windows que analizamos se denominaron p.exe y karksy.exe. Ambos son archivos ejecutables que se extrajeron del host infectado. El nombre y la imagen del proceso de Karsky.exe se parecen mucho a Kaspersky, una suite antivirus comercial de Rusia. La descripción y los metadatos del ejecutable también son los mismos que los de Kaspersky. Sin embargo, se anticipó que p.exe manipuló el ejecutable de Karsky.

Comprehensive Analysis of a PlugX Malware Variant - Red Flare Security

Entradas relacionadas

Dejar un Comentario