Malware YamaBot empleado por Lazarus Group

YamaBot es el nombre de una pieza de malware, empleada por el actor de amenazas que se conoce con el nombre de grupo Lazarus.

YamaBot también se conoce con el nombre de Kaos y está escrito y compilado en el lenguaje de programación Go, una opción cada vez más popular entre los autores de malware.

El malware puede comunicarse con su infraestructura de servidor de mando y control mediante comandos cifrados y solicitudes HTTP. El malware puede enviar y recibir información sobre el nombre de host, la dirección MAC y el nombre de usuario actual del sistema infectado.

Las herramientas disponibles para el malware cambian según la plataforma subyacente en la que se implementó. Las instancias de YamaBot dirigidas a máquinas Linux solo usan comandos de shell a través de /bin/sh, mientras que las instancias dirigidas a sistemas Windows usan varios comandos diferentes que pueden obtener información de directorios y archivos, descargar archivos, ejecutar cadenas usando comandos de shell y eliminar YamaBot.

La versión de Windows del malware fue denominada internamente YamaBot por sus autores y las versiones dirigidas a Linux se conocen internamente como Kaos.

Los investigadores de seguridad advierten contra los ataques que utilizan el malware YamaBot, ya que Lazarus es un actor de amenazas prominente y peligroso.

August 5, 2022