Turla es un malware que emplea una gran cantidad de herramientas para llevar a cabo sus acciones maliciosas, siendo constantemente innovador en sus vectores de ataque. Para ello, cambia con frecuencia las herramientas que utiliza en sus ataques cuando los nombres de los archivos o algoritmos de exclusión mutua son desenmascarados. En lo que respecta a Carbon, desde que fue descubierto hace tres años, ESET ha podido confirmar la existencia de al menos ocho versiones activas.
Turla es un malware que actúa de forma meticulosa, realizando sus tareas por fases. Con anterioridad se dedica a hacer un reconocimiento de los sistemas a atacar para luego desplegar sus herramientas, entre las cuales está Carbon.
Cabron puede entrar en acción cuando el usuario abre un correo electrónico correspondiente a un ataque de phishing o bien visita un sitio web comprometido. Por lo general, la web utilizada por los atacantes suele ser una frecuentemente visitada por la víctima, aplicando sobre esta un ataque llamado watering hole. Una vez se haya conseguido llevar a cabo con éxito la parte recientemente explicada, los ciberdelincuentes instalan una puerta trasera como Taydig o Skipper, pudiendo luego ejecutar el malware en la máquina del usuario. Una vez realizado el reconocimiento, se abre un segundo backdoor que se instala en los sistemas clave.
En resumidas cuentas, Carbon es un malware de tipo descargador que se encarga de la instalación de componentes, entre los cuales está el que permite comunicarse con los servidores de mando y control; el archivo de configuración; además de un balanceador de carga que maneja tareas y las reparte entre los equipos conectados a una red para inyectarlas en procesos legítimos mediante DLL.
Más información: ESET
Fuente: muyseguridad
