Icono del sitio Una Al Día

El malware COMpfun utiliza códigos de error HTTP como comandos

Alberto Segura

Se ha detectado una nueva variante del troyano de acceso remoto (RAT) COMpfun que utiliza como comandos los códigos de error HTTP que el servidor de control le devuelve.

Esta familia de troyanos de acceso de remoto fue detectada por G-Data en 2014. Kaspersky detecto en 2019 otro troyano que mostraba muchas similitudes a nivel de código con respecto a COMpfun, y que permitía realizar ataques ‘man-in-the-middle’ en conexiones cifradas. Aunque este último fue bautizado como Reductor.

La última versión de COMpfun ha sido descubierta por Kaspersky, e implementa todas las funcionalidades que requiere un RAT. Este malware permite recopilar información sobre la geolocalización y sobre el sistema infectado. En cuanto al robo de información más sensible, el troyano permite registrar las pulsaciones de teclas (keylogger), además de realizar capturas de pantalla.

Estrategia de infección. Imagen: Kaspersky

Además de robar información, este malware es capaz de infectar otros dispositivos. Para ello, monitoriza la conexión de dispositivos USB y se propaga en las memorias USB extraibles.

Para la recepción y ejecución de comandos desde el servidor de control, el troyano comprueba los códigos de estado con los que responde el servidor. A continuación una lista de los códigos de estado y la acción que desencadenan:

Los atacantes utilizan una aplicación de visados para distribuir su creación, aunque en realidad no se trata de una aplicación de visados, sino de este malware.

Más información:

Fuente: https://securelist.com/compfun-http-status-based-trojan/96874/

Acerca de Alberto Segura

Alberto Segura Ha escrito 77 publicaciones.

Salir de la versión móvil