Saltear al contenido principal
Lightneuron

Malware Lightneuron toma el control del correo electrónico

Se ha descubierto que una forma de malware puede asumir el control total de la comunicación por correo electrónico, según la compañía de seguridad ESET. Este se dirige específicamente a un proveedor de correo electrónico popular.

El malware LightNeuron puede leer, modificar o bloquear cualquier correo electrónico en tránsito a través del servidor de correo, y puede redactar y enviar nuevos correos electrónicos bajo la identidad de usuarios legítimos.

Ataque a servidor de Correo de Microsoft

ESET dijo que LightNeuron ha estado en uso activo dirigido a los servidores de correo de Microsoft Exchange desde al menos 2014. Entre las víctimas del malware, se encuentran un ministerio de asuntos exteriores en un país de Europa oriental y una organización diplomática regional en el Medio Oriente

El investigador de malware de ESET Matthieu Faou, dijo que LightNeuron es el primer malware conocido que hace mal uso del mecanismo del Agente de Transporte de Microsoft Exchange.

“En la arquitectura del servidor de correo, LightNeuron puede operar con el mismo nivel de confianza que los productos de seguridad, como los filtros de spam. Como resultado, este malware le da al atacante el control total sobre el servidor de correo y, por lo tanto, sobre toda la comunicación del correo electrónico», dijo.

Forma de Infección

LightNeuron utiliza la esteganografía para ocultar sus comandos dentro de documentos PDF válidos o imágenes JPG para disfrazar comandos entrantes y controlar correos electrónicos. Esto hace que el mecanismo de comando y control sea muy difícil de detectar y bloquear.

Finalmente, LightNeuron es difícil de eliminar una vez que infecta un objetivo, ya que simplemente eliminar los archivos maliciosos rompería el servidor de correo electrónico.

El análisis detallado, que incluye la lista completa de Indicadores de compromiso y muestras, se puede encontrar en el documento de investigación Turla LightNeuron: One Email Away from Remote Code Execution.

A su vez Microsoft publicó en su web, que el antivirus Windows Defender detecta y elimina esta amenaza.

Carrito
Volver arriba