Utilizan los software de conocidos antivirus para instalar Bookworm, un nuevo troyano
Los ciberdelincuentes no dejan de sorprendernos y en la última amenaza detectada estos se han encargado de que se sirva de los software de seguridad existentes en el equipo para instalarse de forma adecuada. Bookworm es el nombre que ha recibido y por el momento se vale de las soluciones de seguridad de algunos Antivirus.
Algunos expertos en seguridad han añadido que encuentran muchas semejanzas con respecto al RAT PlugX, una puerta trasera que fue detectada a principios de año y se consideraba un APT (en inglés Advanced Persistent Threats). Los investigadores encargados de analizar la amenaza también han añadido que se trata de un nuevo tipo de malware, realizando una instalación parcial para evitar que las herramientas de seguridad presentes en el sistema detecten su presencia. De este modo, podría decirse que esta también es incremental ya que poco a poco se completa, estableciendo una comunicación con un servidor remoto de control que indica qué componentes se deben cargar en cada equipo.
Esta amenaza está formada por un fichero de texto que posee contenido cifrado. Este corresponde con unas librerías DLL que son cifradas utilizando el algoritmo XOR. Este archivo generado junto con algunas librerías dinámicas y otros ejecutables se empaquetan para formar parte del instalador de la amenaza. Cuando el usuario ejecuta este archivo se produce la extracción de todos los archivos comprimidos y comienza la instalación del troyano.
Bookworm utiliza los permisos de las herramientas de seguridad para no ser detectado
Para las herramientas de seguridad es un auténtico problema, ya que cuando esta se ejecuta por primera vez lo que hace en primer lugar es localizar procesos relacionados con ficheros de los antivirus en cuestión. El motivo es muy sencillo y está relacionado con los permisos de ejecución Al tratarse de procesos de herramientas de seguridad, estos van a tener permisos prácticamente de administrador, por lo que el malware se podrá instalar sin ningún problema. Por este motivo, se realiza el copiado de las DLL y ejecutables que acompañan al fichero de texto a estos procesos.
Gracias a esto, Bookworm ahora posee los permisos necesarios para instalarse en el equipo sin ningún problema, estableciendo comunicaciones con el servidor de control remoto para recibir órdenes y conocer qué elementos debe instalar. Por el momento se desconoce que librerías dinámicas pueden descargarse o si existen otras herramientas de seguridad afectadas por esta práctica, siendo también un misterio cuál es la vía de difusión que utilizan los ciberdelincuentes.
Ver información original al respecto en Fuente.
Comentario:
Nos hemos encontrado con el caso practico de un downware que nos ha instalado un caso similar con un antivirus chino, el Tencent , que no aparece en el listado de Agregar o Quitar Programas, y que el Desinst que existe en su carpeta ofrece pantallas en chino que poco nos ayudan, total, algo parecido de lo que aquí nos cuentan…
saludos
ms, 14-11-2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.