El malware COMpfun utiliza códigos de error HTTP como comandos

Publicado el 17 mayo 2020 ¬ 15:02 pmh.mscComentarios desactivados en El malware COMpfun utiliza códigos de error HTTP como comandos

Se ha detectado una nueva variante del troyano de acceso remoto (RAT) COMpfun que utiliza como comandos los códigos de error HTTP que el servidor de control le devuelve.

Esta familia de troyanos de acceso de remoto fue detectada por G-Data en 2014. Kaspersky detecto en 2019 otro troyano que mostraba muchas similitudes a nivel de código con respecto a COMpfun, y que permitía realizar ataques ‘man-in-the-middle’ en conexiones cifradas. Aunque este último fue bautizado como Reductor.

La última versión de COMpfun ha sido descubierta por Kaspersky, e implementa todas las funcionalidades que requiere un RAT. Este malware permite recopilar información sobre la geolocalización y sobre el sistema infectado. En cuanto al robo de información más sensible, el troyano permite registrar las pulsaciones de teclas (keylogger), además de realizar capturas de pantalla.


COMpfun infection chain
Estrategia de infección. Imagen: Kaspersky

Además de robar información, este malware es capaz de infectar otros dispositivos. Para ello, monitoriza la conexión de dispositivos USB y se propaga en las memorias USB extraibles.

Para la recepción y ejecución de comandos desde el servidor de control, el troyano comprueba los códigos de estado con los que responde el servidor. A continuación una lista de los códigos de estado y la acción que desencadenan:

200: Envío de información recopilada al C2.
402: Indica que se deben utilizar los códigos de estado HTTP como comandos.
422: Desinstalación del troyano.
423: Instalación del troyano (copia los ficheros del troyano y configura el sistema para que sea iniciado al iniciar el equipo)
424: Solicita el envío de información sobre el equipo.
427: Almacenar comando en fichero temporal, descifrar y ejecutar. Junto al código de estado se indica el comando a ejecutar.
428: Propagación a dispositivos USB.
429: Enumerar los recursos de red.
Los atacantes utilizan una aplicación de visados para distribuir su creación, aunque en realidad no se trata de una aplicación de visados, sino de este malware.

 

 

Ver información original al respecto en Fuente>

 

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies