Investigadores de ESET han monitoreado al malware Potao desde que fue identificado en 2011, el jueves la firma de seguridad publicó nuevos detalles sobre la amenaza y su uso en una serie reciente de campañas de espionaje, principalmente en contra de objetivos en Ucrania.

El malware Potao es modular, lo que significa que sus capacidades están principalmente basadas en una variedad de plugins descargables, indicó en un correo el día jueves Robert Lipovsky, investigador senior de ESET, a SCMagazine.com.

Algunos de los plugins que encontró ESET incluyen uno para robo de archivos, recolección de información del sistema, capturador de pantalla, keylogger y actualizador de malware, indicó Lipovsky, agregando que el objetivo final de los atacantes es emplear Potao para espionaje y robo de datos.

"Hay algunos indicadores sutiles en el código fuente que indican que los autores del malware hablan ruso", indicó Lipovsky. "Aunque los autores del malware no necesariamente tienen que ser del mismo origen, de hecho a menudo no lo son, ya que el malware se vende a otros".

Una publicación y una investigación publicadas en 2012 indican que Potao era empleado principalmente contra objetivos en Rusia, pero después de un tiempo de inactividad en 2013, la actividad se incrementó a lo largo de 2014 y 2015 contra objetivos en Ucrania, incluyendo entidades de gobierno, militares y agencias de noticias.

Un primer mecanismo de infección observado por los investigadores involucra el envío personalizado de mensajes SMS con el fin de redirigirlos a páginas que alojan malware (disfrazadas de sitios del servicio postal), indicó la publicación. En esas instancias, los ejecutables estaban a menudo disfrazados como documentos en Word, Excel y PDF.

Otro mecanismo de infección involucra conectar memorias USB a equipos infectados. Todo esto requiere que la víctima de doble clic en el malware colocado en la memoria USB, la cual se disfraza a sí misma con el nombre e ícono de una memoria USB legítima. Para hacer las cosas más difíciles, todos estos archivos se encuentran ocultos en el dispositivo.

Un tercer mecanismo de infección involucra al software de cifrado de código abierto conocido como TrueCrypt. Los investigadores observaron que el sitio truecryptrussia(dot)ru distribuye, a determinados objetivos, una versión modificada de software que contiene una puerta trasera. La versión modificada, identificada como Win32/FakeTC, tiene más características que acaba de liberar Potao, incluyendo el robo de archivos de dispositivos cifrados.

Los investigadores de ESET indican que Potao no es particularmente avanzado o sofisticado, pero agregaron que algunos trucos inteligentes e ingeniería social pueden permitir campañas exitosas de espionaje.