Investigadores de Kaspersky han detectado un malware capaz de robar información de dispositivos y equipos aislados o desconectados de la red principal. Una vez instalado, el malware inicia una segunda fase en la que se han detectado dos tipos de acciones. Por un lado es capaz e infectar unidades de memoria extraíble y por otro robar datos de los ordenadores locales y enviarlos a una cuenta de Dropbox de los ciberatacantes.
La herramienta maliciosa está compuesta de tres módulos, cada uno de ellos encargado de tareas diferentes: gestión de los dispositivos extraíbles, captura de datos e implantación de malware en las unidades recién conectadas.
A lo largo de la investigación, los analistas de Kaspersky constataron los esfuerzos de los ciberdelincuentes por evitar la detección de los sistemas defensivos de las empresas. Lo consiguen mediante el cifrado de un payload en archivos de datos binarios separados, así como a través de la incrustación de código malicioso en la memoria de aplicaciones legítimas a través de la técnica DLL Hijacking y de una serie de inyecciones de memoria.
