ESET, empresa pionera en la protección proactiva de malware desde hace más de dos décadas, ha presentado sus conclusiones sobre la operación Potao Express, un análisis completo del grupo de ciberspionaje responsable del desarrollo y distribución del malware Win32/Potao.
En el informe de ESET, que se puede descargar desde aquí, se describen los ataques y los vectores de infección más importantes de este malware desde su aparición en 2011 hasta nuestros días.
Win32/Potao es un ejemplo de malware de ciberespionaje que afecta especialmente a usuarios en Ucrania pero también en otros países de la antigua Unión Soviética, como Rusia, Georgia o Bielorrusia.
La familia Potao roba contraseñas e información sensible de forma similar a como lo hacía BlackEnergy. Potao se ha utilizado para espiar al gobierno y al ejército de Ucrania, así como a la mayor agencia de noticias del país o a la organización financiera MMM, muy popular en Rusia y en Ucrania.
“Nuestras investigaciones sobre Potao han sacado a la luz una conexión muy interesante con la versión rusa de un software de cifrado de código abierto muy popular aunque ya no se utilice: TrueCrypt”, afirma Robert Lipovsky, responsable sénior de malware en ESET. Los investigadores de ESET también descubrieron otra conexión con el sitio truecryptrussia.ru, que no solo enviaba software infectado sino que también funcionaba como un servidor de comandos y control.