A través de un Phishing, distribuyen keylogger que captura pantallas
La organización PhishMe recibió la semana pasada un correo de phishing el cual contenía adjunto una muestra de malware que realiza capturas de pantallas de los sistemas infectados, estas imágenes son enviadas a los atacantes, sin embargo, un investigador fue capaz de darle un giro y tomar el control para “observar a los observadores”.
Los correos de phishing, que pretendían provenir de HSBC, contienen un archivo adjunto que infecta a los sistemas con un malware conocido como Dynasty Keylogger (también conocido como Predator Dynasty) cuando es ejecutado, de acuerdo a la publicación del pasado jueves.
Ronnie Tokazowski, uno de los principales investigadores de PhishMe, comentó el día jueves mediante un correo al portal SCMagazine.com que dicho malware tiene características de keylogger, además de la habilidad de iniciar de forma persistente, realizar capturas de pantalla y eludir el control de acceso de los usuarios.
Asimismo, Tokazowski comentó que dicho malware tiene la capacidad de enviar las contraseñas almacenadas en el navegador web, mensajero de correo o gestor de descargas de Internet a los atacantes, además de desactivar controles tales como regedit, administrador de procesos, MSconfig y el command prompt.
Se examinó la muestra de malware en máquinas virtuales, las capturas de pantalla realizadas en el entorno controlado permitieron realizar un análisis, de esta forma se logró dar un giro y observar el regreso de la información del malware. “Para verlos, tomé una captura de tráfico de red mientras la máquina virtual infectada se encontraba bajo mi control”, “Después de realizar la captura de esos paquetes, pude ver cómo funcionaba el malware”, comentó Tokazowski. Si la información se comparte como firma a los provedoores, será más difícil para los atacantes el uso de este malware.
Los atacantes tuvieron varios errores. Cuando el archivo se descarga y ejecuta, el malware alerta a los atacantes de una nueva máquina infectada mediante el envió de un correo vía SMTP, la publicación explica que haber elegido una codificación fija para la validación de credenciales de correo es una grave equivocación.
Tokazowski comentó, “cuando un atacante usa una codificación fija de credenciales dentro de un archivo binario, el te está entregando en bandeja de planta su usuario y contraseña […] Desde el stream de SMTP, los atacantes estaban usando una cuenta de correo junto con una contraseña para enviar la información a una dirección de correo. Con esto alguien podría fácilmente ingresar a la dirección de correo y a las bitácoras del C&C para obtener todo lo que los atacantes han conseguido con esta cuenta.”
“En segundo lugar, cometieron el error de establecer comunicación en texto claro con el C&C. De esta forma las empresas pueden crear fácilmente firmas, haciendo difícil para los atacantes reutilizar el código”.
Ver mas informacion al respecto en Fuente:http://www.seguridad.unam.mx/noticia/?noti=1974
saludos
ms, 21-10-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.