DARKCOMET RAT / FYNLONSKI : MALWARE QUE ABRE PUERTA TRASERA INGRESANDO BAJO LA APARIENCIA DE VIDEO RELATIVO A CHARLIE HEBDO “JE SUIS CHARLIE”
El malware en cuestión es el famoso DarkComet RAT (conocido como Fynlonski), una herramienta gratuita de administración remota que también ha servido como puerta trasera para la entrada de un potente troyano. DarkComet fue inicialmente creado por el hacker francés DarkCoderSc, que abandono su desarrollo en 2012. Sin embargo, su facilidad de uso y la riqueza y variedad de sus características, lo han mantenido a la cabeza en su utilización por todo tipo de atacantes, desde “script kiddies” y activistas hasta actores mucho más perversos.
Este malware descarga una copia de sí mismo con el nombre svchost.exe y lanza la imagen de un recién nacido, con una etiqueta que lleva el nombre “Je suis Charlie”.
foto: www.metronews.fr
La variante utilizada en el presente ataque está oculta para evitar ser detectadas por los escáners AV. El código DarkComet Delphi está oculto dentro de un envoltorio .NET, haciendo que las señales de DarkComet muy difíciles de ser percibidos.
Actualmente es detectado por 23 de los 56 AV de visrustotal:
SHA256: fe603db8389564ce2e12d5924e9ce68240b23aebacc72aaacef61820bcc4c96c
Nombre: je suis charlie.exe
Detecciones: 23 / 56
Fecha de análisis: 2015-01-15 19:19:30 UTC
0 1
Antivirus Resultado Actualización
ALYac Trojan.Generic.12523131 20150115
AVG BackDoor.Generic18.BKDV 20150115
Ad-Aware Trojan.Generic.12523131 20150115
Avira TR/Agent.978944.162 20150115
Baidu-International Trojan.Win32.Reconyc.dmsl 20150115
BitDefender Trojan.Generic.12523131 20150115
CMC P2P-Worm.Win32.SpyBot!O 20150113
DrWeb BackDoor.Comet.2020 20150115
ESET-NOD32 a variant of MSIL/Injector.HFC 20150115
Emsisoft Trojan.Generic.12523131 (B) 20150115
F-Secure Trojan.Generic.12523131 20150115
Fortinet W32/Reconyc.DMSL!tr 20150115
GData Trojan.Generic.12523131 20150115
Ikarus Trojan.Win32.Reconyc 20150115
Kaspersky Trojan.Win32.Reconyc.dmsl 20150115
Malwarebytes Backdoor.DarkKomet 20150115
McAfee Artemis!3C5266CAB10C 20150115
McAfee-GW-Edition BehavesLike.Win32.Trojan.dh 20150115
MicroWorld-eScan Trojan.Generic.12523131 20150115
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20150115
Symantec WS.Reputation.1 20150115
TrendMicro-HouseCall Suspicious_GEN.F47V0113 20150115
nProtect Trojan.Generic.12523131 20150115
La dirección actual del dominio de comando y control es snakes63.no-ip[.]org. Esta dirección dirige a una dirección IP localizada en Orange en Francia. La dirección IP francesa y el mensaje de error en francés refuerza la impresión de que el malware ha sido diseñado pensando en usuarios franceses o a cualquiera que esté siguiendo este atentado terrorista.
La publicación en Internet de la última edición de la revista, preparada por los redactores que quedaron vivos tras la matanza y que ha agotado toda la tirada en papel, aumentará su visibilidad y con ello el malware relacionado.
Ver informacion original al respecto en Fuente:
http://muyseguridad.net/2015/01/16/je-suis-charlie-cibercrimen
saludos
ms, 16-1-2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.