El documento describe el malware Potao, el cual ha sido utilizado principalmente para espiar objetivos en Ucrania y otros países post-soviéticos. El malware ha sido distribuido a través de correos electrónicos de phishing, USB infectadas y SMS, haciéndose pasar por una versión modificada del software de cifrado TrueCrypt. Una página web ha estado sirviendo versiones del software que incluyen una puerta trasera para objetivos seleccionados. El malware también contiene mecanismos para propagarse a través de USB y disfra

1. WEBIMPRINTS
Empresa de pruebas de penetración
Empresa de seguridad informática
http://www.webimprints.com/seguridad-informatica.html
Potao Malware

2. Potao Malware
Según Webimprints una empresa de
pruebas de penetración Potao malware es
una campaña de ciberespionaje dirigido
principalmente contra objetivos en Ucrania
y un número de otros países post-soviéticos,
entre ellos Rusia, Georgia y Bielorrusia. Fue
utilizado como una puerta trasera en la
forma de una versión modificada del
software de cifrado TrueCrypt. El malware
fue enviados a todos través de correos
electrónicos de phishing, malware de USB y
SMS de los servicios postales para que el
usuario abra la URL infectado.

3. Según expertos de proveedor de pruebas de
penetración, Cuando los delincuentes
cambiaron su enfoque de atacar objetivos
en Rusia a los demás en Ucrania, que
comenzaron a enviar mensajes SMS
personalizados a sus víctimas potenciales
para atraerlos a las páginas de destino de
alojamiento el malware. El malware, sí
contiene algunas técnicas interesantes
como el mecanismo para la difusión a través
de unidades USB y disfrazar ejecutable como
documentos de Word y Excel.
Como funciona Potao Malware

4. Comenta Mike Stevens profesional de
empresa de seguridad informática que la
página web truecryptrussia.ru ha estado
sirviendo a las versiones modificadas del
software de cifrado que incluye una puerta
trasera a objetivos seleccionados. Las
versiones limpia de la aplicación se sirven a
los visitantes normales a la página web, es
decir, personas que no son de interés para los
atacantes. Los expertos detectaron el
TrueCrypt troyanizado como Win32 / FakeTC.
Dominio de TrueCrypt Rusia también fue
utilizado como un servidor C & C para el
malware.
Como funciona Potao Malware

5. Comenta Mike Stevens de empresas de
seguridad informática
que además de la orientación selectiva
(decidir a quién servir la versión troyanizado en
lugar de la limpieza), el código de puerta
trasera también contenía desencadenantes
que sólo activar la funcionalidad de robo de
datos maliciosos para, usuarios TrueCrypt
activos a largo plazo. Estos fueron sin duda
factores que contribuyen a que el malware
está pasando desapercibida durante mucho
tiempo.
Potao Malware

6. La conexión a Win32 / Potao, que es una
familia de malware diferente de Win32 /
FakeTC, es que FakeTC ha sido utilizado para
entregar Potao a los sistemas de víctimas en
un número de casos. FakeTC no es, sin
embargo, más que un vector de infección
para Potao (y posiblemente otros tipos de
malware), pero una puerta trasera
totalmente funcional y peligroso diseñado
para exfiltrate archivos desde unidades
cifradas de las víctimas de espionaje
menciono Mike Stevens de empresas de
seguridad informática.
Potao Malware

7. CONTACTO www.webimprints.com
538 Homero # 303
Polanco, México D.F 11570
México
México Tel: (55) 9183-5420
DUBAI
702, Smart Heights Tower, Dubai
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845