Apenas ha pasado una semana desde que se detectó esta amenaza afectando a usuarios con distribuciones Linux y ya tenemos una copia que ha comenzado a afectar a usuarios con sistema operativo Windows. Ekocms es un troyano con la única misión de espiar a los usuarios realizando capturas de pantalla y grabaciones de audio.
Después del descubrimiento realizado por Dr.Web, la compañía de seguridad Sophos identificó la amenaza como Mokes y posteriomente por parte de Kaspersky como una puerta trasera. Sin lugar a dudas esta ha causado bastante furor en la comunidad Linux, ya que nos encontramos ante el primer spyware que está afectando a las distribuciones.
Cuando informamos de lo sucedido, aclaramos que aunque la amenaza poseía la habilidad de realizar capturas de pantalla y de audio, solo la primera se encontraba activa y era la que se utilizaba cuno llegaba a los equipos.
También han añadido desde Sophos que posee la función de keylogger, pero esta al igual que la del audio aún no se han utilizado y no se conocen los motivos de esta decisión por parte de los propietarios de la amenaza.
Por un momento se creía que los usuarios de Windows quedarían al margen, pero expertos en seguridad de la compañía Kaspersky han informado de la existencia de una copia para los sistemas operativos de los de Redmond. Puedes ver cómo configurar OpenSSH en Linux.
La versión de Ekocms que afecta a Windows es mucho más potente
Por lo general la versión comparte muchas características de la disponible para sistemas Linux. Una vez llega al equipo y se ha instalado de forma correcta, posee un número de carpetas predefinididas donde debe copiar sus archivos para asegurar la persistencia. También se comunica con un servidor remoto al que envía de vez en cuando peticiones para controlar si está disponible o no y almacena los datos recopilados (capturas de pantalla) de forma local, procediendo a su envío al servidor de forma periódica.
Pero existen diferencias con respecto a la versión para Linux. El keylogger del que hemos hablado con anterioridad y que no era utilizado en estos sistemas operativos sí se utiliza y además se ha encontrado un certificado digital perteneciente a Comodo y que sirve para validar la instalación de la amenaza en el sistema y no levantar sospechas.
La amenaza está programada en C++ y Qt, un framework multiplataforma que abre las puertas a la existencia de una versión disponible para sistemas operativos Mac OS X, aunque no se ha detectado.
Fuente | Softpedia