CoreBot, un nuevo malware detectado por IBM

CoreBot, un nuevo malware detectado por IBM

Adrián Crespo

Comenzamos el mes y lo hacemos con la aparición de una nueva amenaza. En esta ocasión, se trata de un troyano conocido con el nombre de CoreBot, descubierto por el equipo de expertos en temas de seguridad de IBM. Para ser más exactos, el malware ha sido destapado mientras atacaba a entornos empresariales.

Esta compañía dispone de un departamento especializado en soluciones de seguridad para grandes empresas, y han sido ellos los encargados de percatarse de los intentos de esta amenaza buscando la forma de acceder a los sistemas. El equipo ha tenido acceso a una copia del virus que han analizado durante varios días para determinar cuál es la finalidad y algunos datos de interés relacionados con este.

Por el momento se sabe que una vez llega al sistema, introduce su código en un proceso propio del sistema operativo Windows, permitiendo que este se pueda ejecutar con garantías de no levantar sospechas y así evitar ser bloqueado por las herramientas de seguridad existentes.

Algunos de los procesos de Windows afectados son iexplore.exe, svchost.exe o csrss.exe.

CoreBot puede actualizarse e instalar malware adicional

A la nula capacidad de las herramientas de seguridad para detectar la presencia de la amenaza si logra inyectar su código en uno de los procesos mencionados con anterioridad, hay que destacar otras dos características muy importantes de esta amenaza: la posible actualización y descarga de otros malware. Al disponer de un proceso legítimo en el sistema como respaldo, el virus es capaz de descargar otras amenazas que se instalarán utilizando la misma técnica utilizada en esta: copiando su código en procesos pertenecientes a Windows.

Sin embargo, la más importante sin lugar a dudas es la posibilidad de actualización de la que dispone, pudiendo recibir nuevas funcionalidades y comunicarse con un servidor remoto permitiendo establecer una comunicación en ambos sentidos, algo muy útil para una de las finalidades que posee: recopilar información almacenada en el equipo.

Disponer de una herramienta de seguridad instalada evita su instalación

Partiendo de que su difusión se realiza haciendo uso de páginas web infectadas, para evitar que el equipo se vea afectado lo mejor es disponer de una herramienta de seguridad instalada y actualizada para así evitar que esta se pueda instalar y replicar a otros equipos del entorno.

Por el momento solo está afectando a empresas, aunque teniendo en cuenta que se encuentra en páginas web, nada evita que los usuarios particulares puedan descargar su ejecutable.

Os recomendamos leer nuestro artículo sobre cómo funciona el malware híbrido.

¡Sé el primero en comentar!