Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1068
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
febrero
(Total:
36
)
- Quitando a los usuarios de Windows los derechos de...
- Un fallo en CloudFlare expone datos privados de su...
- AMD presenta oficialmente Ryzen R7 y alcanza en re...
- Un fan de NVIDIA asesina en Rusia un fan de AMD
- Google anuncia la primera colisión de SHA1
- RootedCON 2017 se celebra durante los días 2, 3 y ...
- Microsoft retrasa sus actualizaciones de seguridad...
- Con sólo 15 años hackeó ordenadores de la NASA
- Presentan como prodigio en informática a joven que...
- DEFT Zero presenta su edición 2017 para el análisi...
- El 0-Day de WordPress permite el hackeo de 1,5 mil...
- 8 tarjetas gráficas GTX 1080 conectadas para crack...
- Un nuevo fallo grave provoca DoS al software BIND DNS
- Universidad sufre un ataque DDoS de sus propios di...
- El 75% de todo el Ransomware es desarrollado por r...
- WhatsApp incorpora verificación en dos pasos
- Vulnerabilidades en las cerraduras inteligentes Bl...
- Solucionada vulnerabilidad XSS en Steam de Valve
- La Policía interviene en Málaga una operadora por ...
- Un sofisticado malware en memoria está infectando ...
- De nuevo hackean impresoras vulnerables imprimiend...
- El vendedor de Smart TV Vizio multado con 2.2$ mil...
- Un hacker tumba más de 10 mil páginas de la dark w...
- Ransomware Charger secuestra tu teléfono a cambio ...
- Una multa de tráfico falsa de la DGT infecta tu or...
- Cómo Google manejó el mayor ataque DDoS de la Botn...
- Documental: Big Data, conviviendo con el algoritmo
- Rusia detiene a varios expertos en ciberseguridad ...
- Nuevas vulnerabilidades críticas en routers Netgear
- Dos arrestados en Londres por infectar la red CCTV...
- 0-day en SMB afecta a múltipes versiones de Window...
- Windows Defender ATP te protegerá del Ransomware
- Gobierno holandés contará todas las papeletas a ma...
- Backblaze publica su ranking de fiabilidad de disc...
- Apple elimina iCloud Activation Lock Page por un f...
- Nueva actualización de seguridad para WordPress
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
354
)
ransomware
(
341
)
vulnerabilidad
(
304
)
Malware
(
264
)
Windows
(
246
)
android
(
243
)
cve
(
236
)
tutorial
(
236
)
manual
(
221
)
software
(
205
)
hardware
(
193
)
linux
(
125
)
twitter
(
116
)
ddos
(
95
)
WhatsApp
(
91
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Si estos días vas a cualquiera de las plataformas de venta que hay en internet y buscas un USB probablemente te encuentras con no pocos con ...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Un sofisticado malware en memoria está infectando a bancos de todo el mundo
viernes, 10 de febrero de 2017
|
Publicado por
el-brujo
|
Editar entrada
Los investigadores de Kaspersky Lab han vuelto a detectar un malware similar en apariencia al famoso Duqu 2.0
aparecido hace dos años. Según la investigación publicada las redes
pertenecientes a 140 bancos y otras empresas han sido infectadas por
este malware capaz de permanecer casi invisible. Cientos de bancos e instituciones financieras de todo el mundo pueden
haber sido infectados con un sofisticado malware sin archivos que es
difícil de detectar.
La amenaza fue descubierta por los expertos de la firma de seguridad Kaspersky Lab, los delincuentes están dirigidos a organizaciones en muchas industrias. Los bancos, las compañías de telecomunicaciones y el gobierno de 40 países estaban infectados con un malware sin archivos que reside en la memoria de los equipos comprometidos y no copia ningún archivo o carpeta en el disco duro.
Los investigadores descubrieron que el malware sin archivos ya había infectado sistemas en 140 redes empresariales, con la mayoría de las víctimas ubicadas en Estados Unidos, Francia, Ecuador, Kenia, Reino Unido y Rusia.
Los investigadores creen que el número real de víctimas es probablemente mucho mayor porque la amenaza es muy difícil de detectar.
El código malicioso se inyecta directamente en la memoria de la máquina infectada y el malware se ejecuta en la RAM del sistema.
"Un buen ejemplo de la implementación de estas técnicas es Duqu2. Después de caer en el disco duro y comenzar su paquete MSI malicioso que elimina el paquete de la unidad de disco duro con el cambio de nombre de archivos y deja parte de sí mismo en la memoria con una carga útil. Es por eso que la memoria forense es fundamental para el análisis del malware y sus funciones. Otra parte importante de un ataque son los túneles que van a ser instalados en la red por atacantes ", lee el análisis publicado por Kaspersky.
El ataque fue descubierto por un equipo de seguridad de un banco que descubrió una copia del código Meterpreter, un componente en memoria del frame Metasploit, en una memoria física de un controlador de dominio de Microsoft (DC).
Los expertos de Kaspersky Lab registraron las amenazas como MEM: Trojan.Win32.Cometer y MEM: Trojan.Win32.Metasploit. El malware aprovecha las secuencias de comandos de PowerShell dentro del registro de Windows para cargar el código Meterpreter directamente en la memoria, las técnicas similares aprovechando el PowerShell ya fueron adoptadas por otros malware en estado salvaje.
"Kaspersky Lab participó en el análisis forense después de que este ataque fue detectado, descubriendo el uso de scripts de PowerShell dentro del registro de Windows. Además se descubrió que la utilidad NETSH se utiliza para el tráfico de túnel desde el host de la víctima a C2 del atacante ", continúa el análisis.
A partir de este momento, los atacantes utilizaron una combinación de módulos Metasploit, scripts en PowerShell y la herramienta SC de Windows para ejecutar código malicioso dentro de la memoria del equipo.
Para exfiltrar los datos, los atacantes utilizaron la utilidad NETSH, creando un túnel indetectable hacía su servidor deseado.
Este tipo de ataque restringió todo el comportamiento malicioso a la RAM del equipo ya algunas claves de registro de Windows, dejando mínimos rastros de acciones maliciosas en registros y copias de seguridad.
A medida que pasaba el tiempo y los registros y las copias de seguridad se giraban, se eliminaban los rastros que quedaban, mientras que los atacantes seguían ejecutando su código malicioso desde la RAM del ordenador.
En el año 2015 hacía su aparición Duqu 2.0, un virus que tenía la capacidad de infectar una red y permanecer únicamente en la memoria de las computadoras comprometidas. Como resultado de ello la infección permaneció sin ser detectada durante más de medio año.
El malware encontrado esta semana es muy similar. Según Kaspersky los hackers podrían tener una clara motivación financiera debido a los objetivos seleccionados. Además, podrían ser más de 140 bancos, ya que las infecciones son difíciles de detectar y los atacantes emplean herramientas legales para aprovechar alguna vulnerabilidad e inyectar el malware en la memoria del ordenador. Todo ello para finalmente sacar dinero de las cajeros… desde los propios bancos. Según la compañía de seguridad:
Un malware que se descubrió a finales del año pasado a través de un equipo de seguridad de un banco, en ese momento dieron con un controlador de dominio de Microsoft infectado aunque intacto, presumiblemente porque no se había reiniciado.
El análisis posterior encontró que los atacantes utilizaron
herramientas para recopilar contraseñas de los administradores del
sistema. Hoy los investigadores siguen sin saber la procedencia del
ataque o incluso la manera en la que el malware se inicia, dudas que
esperan resolver de aquí al mes de abril, momento en el que
proporcionaran más detalles de la investigación en curso.[ArsTechnica]
Fuentes:
http://es.gizmodo.com/kaspersky-descubre-un-potente-malware-invisible-que-est-1792122617
http://securityaffairs.co/wordpress/56110/malware/fileless-malware-campaign.html
Un sofisticado malware residente en la memoria RAM infectó a 140 empresas en 40 países
Más de un centenar de bancos e instituciones financieras de 40 países han sido infectados con un sofisticado malware sin archivos que es muy difícil de detectar.La amenaza fue descubierta por los expertos de la firma de seguridad Kaspersky Lab, los delincuentes están dirigidos a organizaciones en muchas industrias. Los bancos, las compañías de telecomunicaciones y el gobierno de 40 países estaban infectados con un malware sin archivos que reside en la memoria de los equipos comprometidos y no copia ningún archivo o carpeta en el disco duro.
Los investigadores descubrieron que el malware sin archivos ya había infectado sistemas en 140 redes empresariales, con la mayoría de las víctimas ubicadas en Estados Unidos, Francia, Ecuador, Kenia, Reino Unido y Rusia.
Los investigadores creen que el número real de víctimas es probablemente mucho mayor porque la amenaza es muy difícil de detectar.
Malware sin archivos y en Memoria RAM
El código malicioso se inyecta directamente en la memoria de la máquina infectada y el malware se ejecuta en la RAM del sistema.
"Un buen ejemplo de la implementación de estas técnicas es Duqu2. Después de caer en el disco duro y comenzar su paquete MSI malicioso que elimina el paquete de la unidad de disco duro con el cambio de nombre de archivos y deja parte de sí mismo en la memoria con una carga útil. Es por eso que la memoria forense es fundamental para el análisis del malware y sus funciones. Otra parte importante de un ataque son los túneles que van a ser instalados en la red por atacantes ", lee el análisis publicado por Kaspersky.
El ataque fue descubierto por un equipo de seguridad de un banco que descubrió una copia del código Meterpreter, un componente en memoria del frame Metasploit, en una memoria física de un controlador de dominio de Microsoft (DC).
Los expertos de Kaspersky Lab registraron las amenazas como MEM: Trojan.Win32.Cometer y MEM: Trojan.Win32.Metasploit. El malware aprovecha las secuencias de comandos de PowerShell dentro del registro de Windows para cargar el código Meterpreter directamente en la memoria, las técnicas similares aprovechando el PowerShell ya fueron adoptadas por otros malware en estado salvaje.
"Kaspersky Lab participó en el análisis forense después de que este ataque fue detectado, descubriendo el uso de scripts de PowerShell dentro del registro de Windows. Además se descubrió que la utilidad NETSH se utiliza para el tráfico de túnel desde el host de la víctima a C2 del atacante ", continúa el análisis.
Ataques utilizando herramientas clásicas de hacking
Una vez que los atacantes se encontraron dentro, usaron la aplicación Mimikatz para extraer credenciales locales y obtener acceso a cuentas con privilegios más altos en la máquina local o estaciones de trabajo cercanas.A partir de este momento, los atacantes utilizaron una combinación de módulos Metasploit, scripts en PowerShell y la herramienta SC de Windows para ejecutar código malicioso dentro de la memoria del equipo.
Para exfiltrar los datos, los atacantes utilizaron la utilidad NETSH, creando un túnel indetectable hacía su servidor deseado.
Este tipo de ataque restringió todo el comportamiento malicioso a la RAM del equipo ya algunas claves de registro de Windows, dejando mínimos rastros de acciones maliciosas en registros y copias de seguridad.
A medida que pasaba el tiempo y los registros y las copias de seguridad se giraban, se eliminaban los rastros que quedaban, mientras que los atacantes seguían ejecutando su código malicioso desde la RAM del ordenador.
En el año 2015 hacía su aparición Duqu 2.0, un virus que tenía la capacidad de infectar una red y permanecer únicamente en la memoria de las computadoras comprometidas. Como resultado de ello la infección permaneció sin ser detectada durante más de medio año.
El malware encontrado esta semana es muy similar. Según Kaspersky los hackers podrían tener una clara motivación financiera debido a los objetivos seleccionados. Además, podrían ser más de 140 bancos, ya que las infecciones son difíciles de detectar y los atacantes emplean herramientas legales para aprovechar alguna vulnerabilidad e inyectar el malware en la memoria del ordenador. Todo ello para finalmente sacar dinero de las cajeros… desde los propios bancos. Según la compañía de seguridad:
Lo que es interesante aquí es que estos ataques contra los bancos continúan en todo el mundo . En muchos casos los bancos no han sido adecuadamente preparados para lidiar con esto y las personas detrás de los ataques están sacando el dinero de los bancos... desde dentro de los propios bancos dirigiendo ordenadores que manejan los cajeros automáticos.Las 140 organizaciones que han sido afectadas residen en 40 países diferentes, siendo Estados Unidos, Francia, Ecuador, Kenia y el Reino Unido los cinco países más afectados.
Un malware que se descubrió a finales del año pasado a través de un equipo de seguridad de un banco, en ese momento dieron con un controlador de dominio de Microsoft infectado aunque intacto, presumiblemente porque no se había reiniciado.
Fuentes:
http://es.gizmodo.com/kaspersky-descubre-un-potente-malware-invisible-que-est-1792122617
http://securityaffairs.co/wordpress/56110/malware/fileless-malware-campaign.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.