Infy

¿Qué es?

Infy, también conocido como Prince of Persia y Foudre, es un malware de tipo troyano genérico que se enfoca en infectar dispositivos Windows para realizar ciberespionaje a objetivos gubernamentales y civiles en múltiples países, entre los que se destaca a Irán. Además, puede proporcionar una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

• Registra las pulsaciones de teclado (keylogger) para capturar contraseñas y mensajes.
• Toma capturas de pantalla periódicas del escritorio de los usuarios.
• Graba audio de los sistemas y sonido desde los micrófonos.
• Extrae y roba credenciales e información almacenada en navegadores y otras aplicaciones.
• Busca, exfiltra y roba documentos y archivos.
• Se conecta y comunica con servidores de mando y control (C2) para recibir órdenes y exfiltrar datos.
• Descarga módulos adicionales y obtiene cargas útiles para extender sus capacidades.
• Permite la ejecución remota de comandos y realizar acciones como listar archivos, ejecutar procesos y eliminar contenido, entre otros.
• Se asegura la persistencia tras reinicios mediante modificaciones en el registro y servicios del sistema.
• Se disfraza de software legítimo y utiliza nombres de archivos que lo imitan.
• Usa cifrado y ofuscación de código, emplea firmas RSA para validar los servidores de mando y control (C2), utiliza dominios generados algorítmicamente (DGA) y detecta y evita algunos productos de seguridad antes de instalarse para evadir su detección.
• Se propaga a través de correos electrónicos dirigidos con documentos maliciosos (DOC, PPT y otros) que inducen a los usuarios a ejecutar la carga maliciosa.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de ataques de spear-phishing altamente dirigidos con adjuntos maliciosos y a través de engaños visuales que suplantan apariencias legítimas dentro de los documentos infectados para inducir a su ejecución por parte de las víctimas.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

• Prince of Persia: Infy Malware Active In Decade of Targeted Attacks (Palo Alto)
• Prince of Persia – Ride the Lightning: Infy returns as “Foudre” (Palo Alto)
• Iranian APT Makes a Comeback with “Thunder and Lightning” Backdoor and Espionage Combo” (Bitdefender)
• Infy APT distributes Foudre and Tonnerre malware (Broadcom)
• Infy (Malpedia)