Microsoft alerta sobre un nuevo gusano que roba contraseñas

Microsoft y varias compañías de seguridad han detectado un nuevo gusano diseñado para secuestrar servidores pobremente protegidos, utilizando para ello conexiones RDP desde PC ubicados en la misma red para conseguir credenciales de acceso.

Bautizado como “Morto” por Microsoft y “Troj/Agent-TEE” por Sophos, este gusano se instala como un servicio difícil de detectar dentro de Windows svchost.exe mediante una conexión Remote Desktop Protocol (RDP) sobre el puerto 3389. A continuación detecta las subredes e intenta conectarse utilizando un sencillo diccionario de posibles contraseñas.

Tal diccionario incluye, lógicamente variantes de “admin”, pero también nombres de usuario comunes y términos como “invitado”, “raíz”, “consola”, así como números de secuencias habituales.

En caso de tener éxito con un servidor, Morto se copia a sí mismo de forma automática en el sistema de la víctima e intenta elevar su propio proceso para conseguir control de nivel de administrador antes de descargar nuevos componentes.

Según los investigadores de Microsoft, Morto, que parece estar diseñado para el lanzamiento de ataques DDoS, no necesita exploit software para realizar su trabajo, tan sólo contraseñas débiles que explotar.

Hasta el momento, el gusano Morto ha sido descubierto únicamente en unos pocos miles de sistemas, la mayoría de ellos basados en Windows XP, pero, según los expertos, el lanzamiento de ataques de bajo nivel contra objetivos de alto valor podría ser parte de su estrategia operativa.


TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper