Investigadores de seguridad de Symantec han descubierto un nuevo troyano de puerta trasera que permite a los atacantes acceder de manera remota y tener control sobre las máquinas infectadas.

Duuzer, como se denominó por los investigadores, ha estado atacando organizaciones en Corea del Sur y otros lugares en un intento por robar información valiosa.

El troyano está diseñado para infectar equipos de 32 y 64 bits que ejecutan Windows 7, Windows Vista y Windows XP. Duuzer da a los atacantes acceso remoto al equipo comprometido, lo que les permite:

• Recolectar información del sistema y manejarla
• Crear, enumerar y terminar procesos
• Acceder, modificar y eliminar archivos
• Cargar y descargar archivos adicionales
• Cambiar los atributos de tiempo de archivos
• Ejecutar comandos maliciosos
• Robar datos del sistema infectado
• Conocer sobre el sistema operativo de la víctima

Actualmente no está claro cómo el malware está siendo distribuido, pero de acuerdo con investigadores de Symantec, las rutas más obvias son las campañas de phishing dirigido y ataques watering hole.

Una vez en el sistema, Duuzer comprueba si se está ejecutando en una máquina virtual como VMWare o Virtual Box para asegurar que los investigadores de seguridad no están analizando el malware antes de realizar sus rutinas maliciosas.

Por otra parte, el troyano identifica el software existente configurado para ejecutarse en el arranque y toma el nombre de ese software legítimo en un equipo infectado y lo extiende en todo el sistema.

Duuzer establece una puerta trasera en la máquina, lo que permite a atacantes tener acceso físico. Los atacantes ejecutan manualmente los comandos a través de la puerta trasera en los equipos afectados y pueden realizar una las operaciones mencionadas anteriormente.