Neshta

Revisión del 16:37 10 mar 2024 de Fernando.VH (discusión | contribs.) (descripcion de Neshta)
(difs.) ← Revisión anterior | Revisión actual (difs.) | Revisión siguiente → (difs.)

Neshta es un software malicioso que infecta archivos ejecutables del sistema (.exe) con el propósito de recopilar información del sistema y enviarla a un servidor web controlado por ciberdelincuentes. Principalmente dirigido a industrias financieras, de consumo, energía y manufactura, Neshta se propaga principalmente a través de medios extraíbles como dispositivos USB y unidades compartidas de red. Se identificó por primera vez en 2009 y ha sido utilizado en actividades maliciosas en línea. Una vez infectado un sistema, Neshta establece mecanismos de persistencia modificando el registro de Windows y recopila información del sistema, que luego es enviada al servidor remoto. Además, Neshta tiene la capacidad de descargar y ejecutar archivos maliciosos adicionales en sistemas infectados, lo que lo convierte en una amenaza persistente. Se asocia principalmente con la actividad del grupo de ciberdelincuentes conocido como "Jenxcus". Es fundamental para la mitigación de Neshta implementar medidas de seguridad como la educación de los usuarios, políticas de uso de dispositivos extraíbles, mantenimiento de sistemas actualizados y realizar copias de seguridad regulares.

Funcionamiento

Neshta, también conocido como "Jenxcus," es un gusano informático que opera de manera sigilosa e insidiosa, diseñado para infiltrarse en sistemas operativos Windows, aunque también puede afectar a sistemas Linux y MacOS. A continuación, se detallan sus principales características y funcionamiento técnico:

  1. Métodos de Propagación: Neshta se propaga principalmente a través de medios extraíbles, como dispositivos USB y unidades compartidas de red. Para lograr esto, inserta un archivo ejecutable malicioso en la raíz de estas unidades. Cuando un usuario ejecuta involuntariamente este archivo, el gusano se propaga a otras computadoras y dispositivos conectados. La capacidad de Neshta para propagarse rápidamente a través de medios extraíbles y redes compartidas es una de sus características distintivas.
  2. Infección de Archivos Ejecutables: Una vez que Neshta ha ingresado al sistema, infecta archivos ejecutables del sistema operativo con código malicioso. Se adjunta a estos archivos ejecutables, modificándolos para que actúen como portadores de su carga maliciosa. Además, se nombra a sí mismo como "svchost.com," un proceso que las víctimas pueden encontrar en el Administrador de tareas.
  3. Persistencia en el Sistema: Neshta establece mecanismos de persistencia modificando el registro de Windows. Esto asegura que su proceso se inicie cada vez que se ejecuta un archivo ejecutable infectado (.exe), garantizando así su presencia continua en el sistema. La persistencia es una táctica clave para garantizar la longevidad de la infección.
  4. Recopilación de Información del Sistema: Una vez establecido en el sistema, Neshta se dedica a recopilar información diversa relacionada con el sistema operativo, hardware y software instalado. Utiliza archivos ejecutables infectados para llevar a cabo esta tarea y, específicamente, almacena información en un archivo de texto llamado "directx.sys." Este archivo contiene la ruta del último archivo infectado que se inició y se actualiza cada vez que se inicia un archivo infectado.
  5. Comunicación con Servidor Remoto: La información recopilada se envía a un servidor remoto controlado por ciberdelincuentes. Este proceso establece una conexión con un centro de comando y control, permitiendo a los atacantes recibir y analizar los datos recopilados. Este aspecto del funcionamiento de Neshta implica una comunicación directa con los servidores de los ciberdelincuentes.
  6. Capacidad para Descargar Archivos Maliciosos Adicionales: Neshta no solo se limita a la recopilación de información, sino que también tiene la capacidad de descargar y ejecutar archivos maliciosos adicionales en sistemas ya infectados. Esta capacidad le otorga flexibilidad a los ciberdelincuentes para ampliar el alcance y la funcionalidad del ataque.

Impacto y consecuencias

Neshta no solo tiene un impacto técnico directo al comprometer la integridad y confidencialidad de sistemas, sino que también puede ocasionar consecuencias operativas, financieras y de reputación significativas para las organizaciones afectadas. La naturaleza persistente y adaptable del malware agrega complejidad a los esfuerzos de mitigación y recuperación.

  1. Infección Generalizada: Neshta, al propagarse a través de dispositivos extraíbles y redes compartidas, tiene el potencial de infectar múltiples sistemas en una red corporativa. Esto puede llevar a una infección generalizada, afectando considerablemente la infraestructura tecnológica de una organización.
  2. Modificación de Archivos Ejecutables: Al infectar archivos ejecutables del sistema operativo, Neshta puede alterar el funcionamiento normal de las aplicaciones y procesos. Esto puede provocar malfuncionamientos, errores y pérdida de datos críticos almacenados en archivos afectados.
  3. Mecanismos de Persistencia: La capacidad de Neshta para establecer mecanismos de persistencia en el sistema asegura su presencia continua y la ejecución automática en cada inicio del sistema. Esto dificulta la eliminación del malware y permite que persista a lo largo del tiempo, aumentando así su impacto.
  4. Recopilación de Información Confidencial: Neshta recopila información del sistema, incluyendo datos relacionados con el sistema operativo, hardware y software instalado. Esta información puede contener detalles confidenciales sobre la infraestructura de la organización, facilitando ataques posteriores o violaciones de la privacidad.
  5. Comunicación con Servidores Remotos: Al establecer una comunicación con servidores remotos controlados por ciberdelincuentes, Neshta facilita la transferencia de datos confidenciales del sistema a manos no autorizadas. Esto puede incluir credenciales de usuario, información financiera o cualquier otro dato sensible almacenado en el sistema comprometido.
  6. Descarga de Archivos Maliciosos Adicionales: La capacidad de Neshta para descargar y ejecutar archivos maliciosos adicionales significa que los ciberdelincuentes pueden expandir y adaptar sus tácticas según sea necesario. Esto puede incluir la introducción de ransomware, spyware u otras amenazas, aumentando así el riesgo y la gravedad del ataque.
  7. Dificultad en la Eliminación: Neshta, al establecer mecanismos de persistencia y modificar archivos del sistema, dificulta su eliminación manual. La presencia continua del malware puede dar lugar a interrupciones operativas, pérdida de productividad y costos asociados con la restauración y limpieza de sistemas afectados.
  8. Daño a la Reputación: Si Neshta compromete datos sensibles de la organización o interrumpe operaciones críticas, puede resultar en daños significativos a la reputación de la empresa. La pérdida de la confianza de los clientes y socios comerciales puede tener repercusiones a largo plazo.
  9. Costos Asociados a la Recuperación: La eliminación de Neshta y la restauración de sistemas afectados conllevan costos significativos. Las organizaciones afectadas deben invertir en recursos para mitigar los daños, implementar medidas de seguridad adicionales y llevar a cabo investigaciones forenses.

Origen y Motivación

El origen y motivación precisos de Neshta, también conocido como "Jenxcus," no han sido completamente esclarecidos, ya que los actores detrás de este malware suelen operar en el anonimato. No obstante, se puede inferir que Neshta tiene su raíz en la ciberdelincuencia, con el propósito principal de obtener ganancias maliciosas. Su diseño como gusano informático sugiere la intención de propagarse rápidamente a través de dispositivos extraíbles y redes compartidas, lo que podría indicar un interés en la expansión y persistencia en múltiples entornos. Además, la orientación específica hacia sectores como finanzas, bienes de consumo, energía e industria manufacturera sugiere una motivación económica, con el robo de información confidencial y la posible interrupción de operaciones como objetivos clave. En general, la creación y evolución de Neshta se enmarcan en la convergencia de la ciberdelincuencia y la búsqueda de ganancias ilícitas a través de la explotación de vulnerabilidades en sistemas informáticos.