Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
enero
(Total:
19
)
- Supuestos Archivos PDF y protectores de pantalla r...
- Blade: una nueva webshell ASP, PHP y JSP
- Malwarebytes presenta un Anti-Ransomware beta
- Antivirus LiveCD 16.0-0.99 con el motor antivirus ...
- Un hospital de Melbourne paralizado por un virus p...
- Skype por fín oculta tu dirección IP real
- Página web Crashsafari que hace colgar tu iPhone o...
- Xiaomi M5: precio y características ya filtradas
- WhatsApp anuncia que será gratis para siempre
- El ransomware CryptoJoker no es cosa de risa
- CES 2016: las novedades tecnológicas para este año
- Se gasta 7.000 euros jugando al FIFA en la Xbox
- ¿Cómo programar en C en 2016?
- Es oficial: Internet Explorer 8, 9 y 10 se quedará...
- BlackBerry abandonará definitivamente su sistema o...
- Oculus Rift ya disponible para reserva por 699 euros
- Intel actualiza su Computer Stick con procesadores...
- Microsoft avisará a los usuarios ante accesos no a...
- Samsung presenta un SSD portable con USB Type-C y ...
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Supuestos Archivos PDF y protectores de pantalla roban credenciales de Facebook
domingo, 31 de enero de 2016
|
Publicado por
el-brujo
|
Editar entrada
Desde finales del año pasado y como parte del monitoreo que desde el
Laboratorio de Investigación de ESET Latinoamérica que analizan las
amenazas que se propagan en la región, pudieron detectar una serie de
archivos maliciosos con características muy similares que se han estado
propagando por países de Centroamérica y por México.
Desde finales de septiembre del año pasado,
varias muestras de códigos maliciosos de la familia RAR/Agent estuvieron
afectando a usuarios de la región; de hecho, a la última de estas
variantes la vimos propagarse entre usuarios de Guatemala la semana
pasada.
Al empezar a analizar estos códigos maliciosos, nos encontramos con que todas las muestras tienen extensión scr (Windows Screen Saver) y además todas utilizan algún ícono relacionado con Acrobat PDF Reader.
En la siguiente imagen podemos darle un vistazo a cómo se veían las
nueve muestras más propagadas en países como México, Guatemala y El
Salvador:
¿Patrones comunes en los códigos maliciosos o simple casualidad?
Ya el hecho de que todos los archivos tengan el
mismo formato y utilicen íconos con temáticas similares levanta
sospechas para pensar que podrían estar relacionados. Para verificar
esta sospecha, se realizó un análisis de las nueve muestras con Cuckoo para detectar si había elementos en común en el funcionamiento de las amenazas.
En este caso resulta útil el hecho de que Cuckoo arroje los resultados en un archivo json,
el cual es fácilmente analizable. De este análisis resultan algunas
características comunes a todos los archivos analizados. Dentro de las
más relevantes encontramos el hecho de tener un módulo que cumple la
función de ser un keylogger, crear archivos con extensión .EXE en la
computadora del usuario, instalarse para iniciar con el sistema y
generar tráfico de red, entre otras que pueden considerarse como
sospechosas.
Así que hasta este punto nos encontramos con
diferentes archivos sospechosos que realizan el mismo tipo de actividad
maliciosa y que para el usuario se ven de forma similar. Como si fuera
poco, a este grupo de características comunes se agrega que todos los
archivos han sido compilados a partir de scripts en Autoit.
La misma estructura de funcionamiento
Tras verificar que las muestras vistas tienen
un comportamiento similar, era necesario verificar de qué manera
funcionan para darnos cuenta si tienen un origen común o, por el
contrario, son muestras de campañas de propagación aisladas.
Al revisar los resultados arrojados del análisis dinámico,
nos encontramos con una nueva característica común a todos los
archivos: todos crean un archivo .EXE y un archivo script que contiene
todo el código malicioso pero de forma ofuscada.
El ejecutable no corresponde a un archivo
malicioso, ya que solamente sirve para ejecutar scripts en Autoit.
Después de trabajar un poco en descifrar el código del script, empiezan a
aparecer algunas características de este código malicioso:
Por ejemplo, se puede ver cómo se referencia el script que se va a ejecutar y es invisible durante su ejecución.
Además de lo anterior, dentro del código del
script, seguimos encontrando funcionalidades similares a todas las
muestras analizadas. Precisamente una de estas son los mecanismos
utilizados para proteger en entornos virtualizados, particularmente para este grupo de muestras analizadas VMware y VirtualBox.
Características de persistencia
Una de las características comunes a la mayoría de los códigos maliciosos es la capacidad que tienen para persistir en un sistema,
y las muestras analizadas no son la excepción. De hecho tienen todas
las mismas dos funciones para modificar los registros de Windows e
iniciarse con cada nuevo arranque del sistema.
Como se ve en la gráfica en la anterior, el
script verifica el tipo de usuario que está activo en la máquina para
saber qué tipo de modificación hacer. Además puede detener e iniciar
procesos relacionados con esta configuración en el sistema operativo.
Estilo de ofuscamiento
Si bien al ver las imágenes anteriores puede
resultar bastante claro lo que realizan estos códigos maliciosos, el
análisis no resulta tan sencillo si partimos de los archivos ofuscados.
En todas las muestras analizadas fue posible encontrar la misma técnica
de ofuscamiento: dos funciones anidadas. Una convierte de hexadecimal a ASCII, y otra invierte la cadena de caracteres.
Una característica adicional que nos da una idea de que estas muestras
están relacionadas y de hecho han ido evolucionando es el hecho de
encontrar la misma técnica pero utilizada de forma diferente, tanto así
que en las primeras muestras que pudimos recuperar el nombre de las
funciones no estaba ofuscado, por lo que su análisis se hace más
sencillo.
Robando contraseñas de Facebook
Dentro de las funciones maliciosas más
relevantes de todos los códigos maliciosos, supiumos que están diseñados
para robar la información relacionada con Facebook. Tal como se puede
ver en la siguiente imagen, el código malicioso cuenta con una función
que va copiando todo al portapapeles. De esta manera, el atacante logra recopilar información privada del usuario:
Además de lo anterior, el atacante también obtiene información sensible
acerca del sistema operativo utilizado por el usuario y los perfiles
creados en la máquina. De esta manera se hace con bastante información
que le puede ser útil para obtener algún tipo de ganancia económica o
incluso llevar adelante otro tipo de ataques.
Después de todo lo anterior es importante tener
en cuenta, como ya lo hemos mencionado, que los atacantes están
constantemente evolucionando sus amenazas y por lo tanto es necesario
estar al tanto de cómo es que propagan sus amenazas. Si bien las
técnicas de Ingeniería Social no varían mucho, las utilizadas para evadir los sistemas de seguridad van cambiando.
Fuente:
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.