Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Kasidet

¿Qué es?

Kasidet, también conocido como Neutrino y Neutrino Bot, es un malware de tipo troyano backdoor con características de gusano, que se enfoca en infectar dispositivos Windows, especialmente terminales de punto de venta (POS), para realizar actividades maliciosas. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar ataques de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones sobre los dispositivos infectados:

  • Permite el control remoto y la ejecución de comandos en los sistemas comprometidos.
  • Descarga y ejecuta ficheros y payloads adicionales desde sus servidores de mando y control (C2).
  • Mantiene persistencia creando claves de Registro y tareas programadas.
  • Modifica el cortafuegos de los sistemas para permitir su tráfico y añade exclusiones en Windows Defender para deshabilitar los reportes de seguridad a la nube SpyNet.
  • Detecta máquinas virtuales y sandbox y utiliza técnicas de evasión para dificultar su detección, como la ocultación de archivos.
  • Recopila información del equipo y del sistema operativo, identifica el antivirus instalado y enumera procesos y archivos, entre otras.
  • Registra pulsaciones de teclas (keylogging) y captura la pantalla para obtener información sensible.
  • Integra funciones de agente bot para realizar ataques de denegación de servicio distribuido (DDoS).
  • Roba de datos en puntos de venta (POS) mediante técnicas de scraping de RAM para extraer datos de tarjetas de pago.
  • Intercepta información de los navegadores para robar credenciales y otros datos enviados por Internet.
  • Oculta y robustece sus servidores de mando y control (C2) mediante el uso de dominios .bit de Namecoin.
  • Se propaga mediante copias por carpetas de red y unidades extraíbles y a través de accesos directos .lnk.

Sistemas afectados

Los principales dispositivos afectados son:

  • Dispositivos con sistemas Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de campañas de phishing y spear phishing por correo electrónico con archivos adjuntos de Microsoft Office con macros VBA maliciosas, a través de anuncios en sitios web comprometidos (malvertising), a través de herramientas de explotación (exploit kits) que se aprovechan las vulnerabilidades de los sistemas, a través de actualizaciones de aplicaciones falsas, a través de otros troyanos que actúan como droppers y a través de copias por carpetas de red, unidades extraíbles y accesos directos .lnk en los sistemas.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

Compartir en Redes Sociales