PlugX

¿Qué es?

PlugX, también llamado Korplug o Sogu, es un malware de tipo troyano de acceso remoto (RAT) que se enfoca en infectar dispositivos Windows para controlarlos remotamente. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet y realizar otras actividades maliciosas distribuidas.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones:

• Permite el acceso y control remoto no autorizado a los dispositivos infectados.
• Accede y roba la información del dispositivo.
• Captura y registra los datos introducidos con el teclado.
• Realiza conexiones con sitios no legítimos, descarga otros ficheros y programas maliciosos.
• Instala otros programas maliciosos que descarga en el dispositivo afectado para potenciar sus actividades.
• Modifica el sistema afectado y crea claves de registro para generar persistencia.
• Oculta sus actividades maliciosas a través de técnicas avanzadas de evasión, como el uso de esteganografía (ocultación de datos en archivos).
• Puede desactivar servicios y programas de seguridad, como antivirus o cortafuegos, para evitar la detección.
• Facilita la explotación y control de los dispositivos conectados a la red comprometida.

Sistemas afectados

Los principales dispositivos afectados son:

• Sistemas con Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de la descarga de adjuntos en correos de phishing y de archivos maliciosos de Internet, a través de la explotación de vulnerabilidades conocidas no parcheadas y a través de conexiones con dispositivos extraíbles (USB).

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

• Paranoid PlugX.
• Win32/Plugx
• Plugx (TrendMicro)
• Plugx (Malpedia)