Comunicados CCN-CERT

Nuevo informe del CCN-CERT sobre la familia de troyanos Buhtrap

  • El ID-08/19, disponible en la parte privada de su portal, es uno de los nueve informes de código dañino recientemente publicados.
  • El objetivo de este código dañino es recolectar información de los navegadores, así como de las aplicaciones instaladas, y realizar la descarga de otros códigos dañinos.
  • El CCN-CERT del Centro Criptológico Nacional incorpora al final del documento las reglas de detección Snort, YARA e IOC correspondientes.

El CCN-CERT del Centro Criptológico Nacional ha publicado en la parte privada de su portal el Informe de Código Dañino CCN-CERT_ID-08-19_Buhtrap. Este documento, uno de los nueve de este tipo recientemente publicados, analiza la familia de troyanos identificada como “Buhtrap”, la cual ha sido diseñada para recolectar información de los navegadores y las aplicaciones instaladas y realizar la descarga de otros códigos dañinos.

Al igual que en los anteriores informes de código dañino, el documento está estructurado en función de los siguientes contenidos:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características Técnicas
  • Ofuscación
  • Persistencia en el sistema
  • Conexiones de red
  • Archivos relacionados
  • Detección y desinfección
  • Información del atacante
  • Referencias
  • Reglas de detección (Snort, YARA e IOC)

Algunas de las principales características de este malware son su capacidad de cargar las funciones en tiempo de ejecución, descifrar una lista de ejecutables y una gran lista de dominios o leer el historial de navegación y las bases de datos de Firefox y Opera, entre otras.

Para saber si un equipo ha estado o está infectado por este troyano, el CCN-CERT recomienda el uso de alguna de las herramientas de Mandiant como el "Mandiant IOC Finder" o el colector creado por RedLine con los indicadores de compromiso generados para su detección. Asimismo, es recomendable iniciar sesión con un usuario que posea privilegios administrativos en el sistema.

En caso de estar infectado, para desinfectar el equipo se aconseja la utilización de herramientas antivirus. En última instancia, se recomienda el formateo y la reinstalación completa del sistema operativo, incluyendo los dispositivos USB conectados (siguiendo lo indicado en las guías CCN-STIC correspondientes) de todos aquellos equipos en los que se haya detectado algún indicador de compromiso o encontrado algún archivo o clave de registro relacionados.

Por último, como viene siendo habitual en estos informes, el documento incluye los anexos referentes a las reglas de detección (Snort y Yara) e Indicadores de Compromiso (IoC).

Este informe de código dañino y todos los anteriores publicados por el CCN-CERT se pueden consultar en la sección Informes de Código Dañino de su portal.

CCN-CERT (29/05/2019)

CCN-CERT_ID-08-19_Buhtrap

 

Ministerio de Defensa
CNI
CCN
CCN-CERT