ccastrol 
Una nueva ola de ataques de malware está siendo enviada por el grupo Titanium APT que infecta los sistemas Windows con una backdoor oculto (puerta trasera) al imitar un software legítimo común y una técnica sin archivos.
Titanium APT es uno de los grupos hackers tecnológicamente avanzados, están utilizando diversas técnicas sofisticadas para atacar al objetivo, y su método de ataque hace que sea muy difícil detectar sus actividades en general. Además, los sistema de archivos de malware no se puede detectar como malicioso debido al uso de tecnologías de cifrado y sin archivos para infectar a las víctimas.
Proceso de Infección
Antes de instalarse el backdoor en Windows, los actores de amenazas siguen secuencias complejas como: subida del malware a un repositorio, descarga e instalación. Durante este proceso, en cada etapa, imitan software conocidos como programas de seguridad, programas para hacer videos en DVD, controladores de sonido, esto a fin de ser detecctado.
En ocaciones, Titanium APT inyecta los shellcode en un proceso llamado winlogon.exe, un archivo de proceso legítimo conocido popularmente como «Aplicación de inicio de sesión de Windows» que realiza una variedad de tareas críticas relacionadas con el proceso de inicio de sesión de Windows. Esto lo dijo Kaspersky a través de una publicación de blog.
Instalación del Backdoor
Como fase final, los atacantes usan el instalador Trojan-Backdoor que se lanzó desde la línea de comando usando una contraseña para descomprimirlo.
El instalador recibe una orden desde su servidor de Comando y Control (C2) enviando una solicitud vacía al servidor C2. En respuesta, el servidor C2 envía un archivo PNG que contiene datos esteganográficamente ocultos. Estos datos se cifran con la misma clave que las solicitudes de C&C. Los datos descifrados contienen comandos de puerta trasera para robar los datos de las víctimas infectadas.
Puntos objetivos de la amenaza
Todos los usuarios que usen el sistema operativo Windows
Usuarios que ingresan a diversas páginas que contienen anuncios de programas de seguridad, grabadores de video, o cualquier otro programa gratuito
Nuestras recomendaciones
A todos los usuarios se les recomienda evitar la instalación o ejecución de programas de dudosa procedencia, generalmente los no licenciados
Al equipo de Tecnología, se recomienda limitar el acceso a páginas web de descarga de software y/o limitar la descarga de software desde páginas web
Asegurarse de que los antivirus de las PC’s se encuentren actualizados, y que los usuarios no tengan accesos privilegiados sobre ellas
