Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
enero
(Total:
52
)
- Configuración MariaDB (MySQL) Gestor Base de Datos
- Instalar WSL2 en Windows 10 para ejecutar Linux de...
- Análisis BackBlaze de los discos duros mecánicos m...
- Tecnologías grabación disco duro mecánico HDD: dif...
- Europol desmantela Emotet: la botnet de malware má...
- Obtener IP de un contacto mediante una llamada en ...
- Nomenclatura de la BIOS/UEFI: ErP Ready, CSM, VRM,...
- Vulnerabilidad en sudo presente desde 2011 permite...
- Seguridad en SSH: uso de llaves privadas y multifa...
- Securizar una RaspBerry Pi
- Convierte tu Raspberry PI en un analizador de red ...
- Optimizar módulo PHP FPM y opciones de seguridad e...
- Los mejores HoneyPots: ejemplos, tipos, caracterís...
- SMiShing: ¿Por qué son tan efectivos los engaños p...
- Vulnerabilidad en "Enviar a Kindle" por e-mail per...
- Utilizan Windows RDP (Escritorio Remoto) puerto 33...
- Secuestran mediante phishing la cuenta de Instagra...
- Google indexa de nuevo datos privados de WhatsApp ...
- Arbitrium-RAT: troyano de acceso remoto multiplata...
- Un exempleado interrumpe el envío de suministros d...
- Los 10 mejores sitios web descarga de Torrent de 2021
- La Policía Nacional detiene en Valencia varón 25 a...
- La policía británica borra por error 400.000 histo...
- Guía configuración y optimización Apache (MPM, suE...
- Administración de Trump añade a Xiamoi a lista de ...
- Comprobar la capacidad real de espacio en un pendr...
- Error en Windows 10 corrompe tu disco duro al ver ...
- Empresa china filtra 200 millones de datos de usua...
- Expertos alertan potente y peligroso RAT llamado R...
- nVidia presenta la serie GeForce RTX Serie 30 y AM...
- Intel agrega a procesadores capacidades de detecci...
- Archivan todas las publicaciones de Parler elimina...
- Fuga de datos privados de la ONU: trabajadores de ...
- Muchas otras redes sociales se unen al veto de Twi...
- SolarWinds contrata una nueva empresa de cibersegu...
- Compartir la ubicación de Telegram no es tan priva...
- HackTools v0.3.0 : la extensión todo en uno para W...
- FBI advierte a empresas sobre ataques del ransomwa...
- Estados Unidos condena ruso a 12 años de cárcel po...
- Aumentan las descargas de Signal y Telegram ante p...
- Condenan a Vodafone a devolver 20.380 euros a un c...
- La aplicación KeyDecoder permite usar el teléfono ...
- Comprendiendo el cifrado TPM con BitLocker y métod...
- Descubre contraseñas escuchando las pulsaciones de...
- Grupo Ransomware DoppelPaymer roba y publica datos...
- Apple compara cuántos metadatos recoge Whatsapp Vs...
- Nintendo pide $15 millones de daños de un sitio we...
- Crecen los ciberataques a los bancos a raíz del co...
- iptables Vs FirewallD: diferencias, ejemplos práct...
- Desactivar scripts PowerShell para evitar ataques ...
- Fallo en Facebook SDK permitía robar cuentas vía o...
- ¿Se atreverá Twitter banear a Donald Trump cuando ...
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Expertos alertan potente y peligroso RAT llamado Rogue para Android
Los investigadores de ciberseguridad han expuesto las operaciones de un proveedor de malware de Android que se asoció con un segundo actor de amenazas para comercializar y vender una herramienta de acceso remoto (RAT) capaz de tomar el control del dispositivo y exfiltrar fotos, ubicaciones, contactos y mensajes de aplicaciones populares como Mensajes de Facebook, Instagram, WhatsApp, Skype, Telegram, Kik, Line y Google.
El producto era un RAT (troyano de acceso remoto) móvil, dirigido a dispositivos Android y capaz de exfiltrar datos confidenciales de un servidor C&C, destruyendo datos locales e incluso eliminando todo el sistema operativo, en ocasiones.
El proveedor, que se conoce con el nombre de "Triangulum" en varios foros de la darknet, presuntamente es un hombre de 25 años de origen indio, y el individuo abrió una tienda para vender el malware hace tres años, el 10 de junio. , 2017, según un análisis publicado hoy por Check Point Research.
"El producto era un RAT móvil, dirigido a dispositivos Android y capaz de exfiltrar datos confidenciales de un servidor C&C, destruyendo datos locales e incluso borrando todo el sistema operativo, en ocasiones", dijeron los investigadores.
Mercado RAT basadas en Android
Al reconstruir el rastro de las actividades de Triangulum, la firma de ciberseguridad dijo que el desarrollador de malware, además de generar publicidad para la RAT, también buscó inversores y socios potenciales en septiembre de 2017 para mostrar las características de la herramienta antes de ofrecerla a la venta.
Posteriormente, se cree que Triangulum se salió de la red durante aproximadamente un año y medio, sin signos de actividad en la darknet, solo para resurgir el 6 de abril de 2019, con otro producto llamado "Rogue", este tiempo en colaboración con otro adversario llamado "HeXaGoN Dev", que se especializó en el desarrollo de RAT basadas en Android.
Al señalar que Triangulum había comprado previamente varios productos de malware ofrecidos por HeXaGoN Dev, Check Point dijo que Triangulum anunciaba sus productos en diferentes foros de la red oscura con infografías bien diseñadas que enumeraban las características completas de la RAT. Además, HeXaGoN Dev se hizo pasar por un comprador potencial en un intento por atraer más clientes.
Si bien el producto de 2017 se vendió por $60 como una suscripción de por vida, los proveedores pasaron a un modelo más viable financieramente en 2020 al cobrar a los clientes entre $ 30 (1 mes) y $ 190 (acceso permanente) por el malware Rogue.
Curiosamente, los intentos de Triangulum de expandirse al mercado de la red oscura rusa fracasaron tras la negativa del actor a compartir videos de demostración en la publicación del foro que anunciaba el producto.
De Cosmos a Dark Shades a Rogue
Rogue (v6.2), que parece ser la última versión de un malware llamado Dark Shades (v6.0) que inicialmente vendió HeXaGoN Dev antes de ser comprado por Triangulum en agosto de 2019, también viene con características tomadas de una segunda familia de malware. llamado Hawkshaw, cuyo código fuente se hizo público en 2017.
"Triangulum no desarrolló esta creación desde cero, tomó lo que estaba disponible en ambos mundos, el código abierto y la red oscura, y unió estos componentes", dijeron los investigadores.
Resulta que Dark Shades es un "sucesor superior" de Cosmos, una RAT separada vendida por el actor de HeXaGoN Dev, lo que hace que la venta de Cosmos sea redundante.
Capacidades de Rogue:
Rogue se comercializa como una RAT "hecha para ejecutar comandos con características increíbles sin necesidad de una computadora (sic)", con capacidades adicionales para controlar a los clientes infectados de forma remota mediante un panel de control o un teléfono inteligente.
De hecho, la RAT cuenta con una amplia gama de funciones para controlar el dispositivo host y exfiltrar cualquier tipo de datos (como fotos, ubicación, contactos y mensajes), modificar los archivos en el dispositivo e incluso descargar cargas útiles maliciosas adicionales. , al tiempo que se asegura de que el usuario otorgue permisos intrusivos para llevar a cabo sus actividades nefastas.
También está diseñado para frustrar la detección al ocultar el ícono del dispositivo del usuario, eludir las restricciones de seguridad de Android al explotar las funciones de accesibilidad para registrar las acciones del usuario y registra su propio servicio de notificación para espiar cada notificación que aparece en el teléfono infectado.
Además, el sigilo está integrado en la herramienta. Rogue usa la infraestructura Firebase de Google como un servidor de comando y control (C2) para disfrazar sus intenciones maliciosas, abusando de la función de mensajería en la nube de la plataforma para recibir comandos del servidor, y Realtime Database y Cloud Firestore para cargar datos y documentos robados del dispositivo de la víctima..
Rogue sufrió una fuga en abril de 2020
Triangulum puede estar actualmente activo y expandiendo su clientela, pero en abril de 2020, el malware terminó por filtrarse.
El investigador de ESET Lukas Stefanko, en un tweet el 20 de abril del año pasado, dijo que el código fuente del backend de la botnet de Android Rogue se publicó en un foro clandestino, y señaló que "tiene muchos problemas de seguridad" y que "es un nuevo nombre para Dark Shades V6.0 (mismo desarrollador) ".
Pero a pesar de la filtración, los investigadores de Check Point señalan que el equipo de Triangulum todavía recibe mensajes de clientes interesados en el foro de Darknet del hogar del actor.
"Los proveedores de malware para dispositivos móviles se están volviendo mucho más ingeniosos en la red oscura. Nuestra investigación nos permite vislumbrar la locura de la red oscura: cómo evoluciona el malware y lo difícil que es rastrearlo, clasificarlo y protegerlo de manera efectiva. ", Dijo el jefe de investigación cibernética de Check Point, Yaniv Balmas.
"El mercado clandestino sigue siendo como el salvaje oeste en cierto sentido, lo que hace que sea muy difícil entender qué es una amenaza real y qué no".
Los expertos lo catalogan como "una mente maestra detrás del malware de Android regresa con un nuevo RAT"
Hasta ahora, los expertos han conseguido encontrar una decena de aplicaciones infectadas por Rogue. Son las siguientes:
- - AppleProtect, [se.spitfire.appleprotect.it]
- - Axgle, [com.absolutelycold.axgle]
- - Buzz, [org.thoughtcrime.securesms]
- - Google Play Service, [com.demo.testinh]
- - Idea Security, [com.demo.testing]
- - SecurIt, [se.joscarsson.privify.spitfire]
- - SecurIt, [sc.phoenix.securit]
- - Service, [com.demo.testing]
- - Settings, [com.demo.testing]
- - Settings, [com.hawkshawspy]
- - Settings, [com.services.deamon]
- - Wallpaper girls, [com.demo.testing]
- - Wifi Pasword Cracker, [com.services.deamon]
https://thehackernews.com/2021/01/experts-sound-alarm-on-new-android.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.