Kaspersky pone el ojo sobre el grupo de amenazas persistentes avanzadas ToddyCat

ToddyCat sigue avanzando. Descubierto hace casi tres años, este grupo de amenazas persistentes avanzadas está aprovechando un nuevo conjunto de loaders para incrementar su impacto.

Así lo advierte la compañía de seguridad Kaspersky, que ha estado investigando las herramientas que utilizan estos ciberdelincuentes. Esto es, Ninja Trojan, Samurai Backdoor y toda una serie de loaders que actúan durante el momento de la infección.

Ninja, por ejemplo, despliega funciones como la gestión de procesos, el control del sistema de archivos, la inyección de código y el reenvío de tráfico de red. Usa LoFiSe para buscar archivos, DropBox Uploader para cargar información en la nube de Dropbox, Pcexter para filtrar ficheros a OneDrive y CobaltStrike para comunicarse con URLs.

Los expertos explican que ToddyCat desarrolla variantes de cargadores para sistemas concretos, teniendo en cuenta el tipo de unidad y el GUID, con un cifrado único.

Entre sus técnicas se encuentra la creación de una clave de registro con su correspondiente servicio para cargar el código malicioso al arrancar el sistema.

“ToddyCat irrumpe en los sistemas y se establece durante mucho tiempo para recopilar información sensible, siendo capaz de adaptarse a las nuevas condiciones para pasar desapercibido”, explica Giampaolo Dedola, analista principal de seguridad de GReAT.

“Las organizaciones deben ser conscientes de que el panorama de amenazas ha evolucionado. No se trata sólo de defenderse, sino de vigilar y adaptarse continuamente a las nuevas condiciones”, advierte. “Para ello es crucial invertir en soluciones de seguridad de primer nivel y tener acceso a los últimos descubrimientos e información de inteligencia de amenazas”.