Mostrando entradas con la etiqueta malware-as-a-service. Mostrar todas las entradas
Mostrando entradas con la etiqueta malware-as-a-service. Mostrar todas las entradas

lunes, 29 de diciembre de 2014

Los códigos maliciosos más peligrosos del 2014







Se acaba el año, y desde soymaquero.net, vamos ha hacer una recopilación de los códigos maliciosos, malwares, spyware, scareware y demás basuras, que durante este 2014, se han dado a conocer, ya hablamos de ellos en nuestro programa de jobsianos y en este blog, pero aún así hay que recordarlos, por que son una guía de lo que nos viene, y no tardarán mucho en verlos funcionando, ya que algunos de estos, solo estaban en periodo de desarrollo, comenzamos 







Durante este 2014, las violaciones de seguridad de alto nivel, vulnerabilidades a gran escala y discursiones interminables sobre la privacidad y el derecho al olvido digital, han conseguido que poco a poco la gente cambien la percepción del mundo de la seguridad digital.
Nadie se siente realmente seguro, aunque aún una gran mayoría sigen sin concienciarse, del gran peligro que supone este problema a nivel mundial, y desde aquí no paramos de recordarlo, aún así con un éxito relativamente pequeño.


Detrás de todas los ciberataques, se esconde un fragmento de código malévolo diseñado para causar el máximo daño posible, desde para robar identidades, secretos empresariales o simplemente para probar algo, o lo más peligroso, como pruebas de las nuevas formas de ataques. 
Pero somos optimistas y creemos, o por lo menos queremos creer, que el 2015 sea más seguro, así como recordatorio de lo que puede llegar, aquí mostramos a los principales protagonistas de los delitos cibernéticos y el cibercaos que se han dado a conocer durante este año


1º DYRE conocido como "El banquero"


Es un Troyano muy especializado, dirigido a los bancos mundiales para robar las credenciales sensibles del usuario y datos financieros de la banca. 
Se propaga (como la inmensa mayoría) a través de campañas de spam y phishing. 
Con Un correo, que es enviado a los empleados del banco, el cual contiene algunos archivos adjuntos ZIP, PPT o PDF o enlaces acortados los que conducen a servidores comprometidos que te inyectan archivos maliciosos. 
Una vez El archivo Dyreza, se carga en la máquina destino, este se conecta a una lista de dominios para después instalar el programa malicioso.
Algunos objetivos conocidos como la realización de ataques man-in-the-middle para interceptar el tráfico cifrado y capturar la información de inicio de sesión. Los datos se envían a los servidores controlados por los hackers. La lista de las víctimas conocidas incluye a varios bancos en Suiza y a SalesForce.com.

Nuestro Consejo de seguridad. 
No haga clic en enlaces en los correos electrónicos de direcciones de correo electrónico desconocidos. La mayoría de las estafas en línea se propagan a través de esta manera.


2º WIRELURKER conocido como "La manzana podrida" por los que odian a los maqueros


Pertenece a la Familia de malware de alta complejidad,  dirigidos a las aplicaciones en iOS y OS X, con el objetivo de  robar información personal de los usuarios. 
Distribuidos a través de aplicaciones manipuladas con malware en OS X .
 WireLurker controla cualquier dispositivo iOS conectado vía USB en un ordenador infectado en OS X e instala aplicaciones descargadas de terceros o genera automáticamente aplicaciones maliciosas en el dispositivo de Apple, con o sin jailbreak. Las víctimas infectadas se encuentran sobre todo en China. Realmente es el menos extendido de todos y el "Relativamente" menos real de los que se han conocido, además de que sus creadores fueron detenidos en sol 3 días.


3º KOLER conocido como  "El policía"

Este Troyano, exclusivo para android, extorsiona a los usuarios de dispositivos móviles a cambio de dinero para desbloquear sus datos. 
Entra Haciéndose pasar por un reproductor de vídeo válido, que ofrece acceso premium a la pornografía, 
se descarga automáticamente durante una sesión de navegación y después que el troyano drive-by infecta a la máquina, impide que el usuario acceda a las pantallas de sesión del móvil y muestra un mensaje falso que pretende ser del servicio de la policía nacional (FBI, NSA, POLICÍA LOCAL, Y FUERZAS DE SEGURIDAD DEL ESTADO) . 
Advierte al usuario que ha sido cazado al intentar acceder a sitios web de abuso infantil y exige un pago como fianza del delito.esta dirigido principalmente hacia los usuarios europeos, pero una vez que te infecta tienes un bonito pisapapeles, ya que tu teléfono, salvo muy contadas ocasiones, no tiene recuperación.

Nuestro Consejo de  seguridad. Pásate a un iPhone, y si no Instala una solución de seguridad móvil el cual te debería ayudar a proteger tus dispositivos móviles del hacking, malware, virus y accesos no autorizados, aunque por nuestra experiencia, puede ser peor el remedio que la enfermedad.


4º. CRYPTOLOCKER conocido como "El ladrón"


Quizás el mas Prolífico de los Troyano Ransomware,  utiliza la encriptación para bloquear los archivos y exigir al usuario a pagar un rescate para descifrarlos. 
Viene incluido en los mensajes spam el cual llevan un archivo adjunto malicioso.
 Si los usuarios abren el archivo adjunto, el archivo .exe maliciosos es descargado y ejecutado. 
Cuando CryptoLocker obtiene el acceso a un ordenador, se conecta a unos dominios generados aleatoriamente para descargar una clave pública RSA de 2048 bits el cual es utilizada para cifrar los archivos del equipo. La clave pública RSA puede descifrarse únicamente con la clave privada correspondiente, siendo esta ocultada para hacer casi imposible el descifrado, por parte de la víctima perdiendo en ese caso, aun pagando, el 99% de las veces los datos.

Cryptolocker tiene el dudoso "honor" de haber infectado a más de 500.000 usuarios, principalmente en los Estados Unidos, El Reino Unido y Canadá.

Nuestro Consejo de seguridad. Asegúrate de que su antivirus, y sistema operativo estén actualizados regularmente y sobre todo el java, el cual es uno de los principales puntos de acceso.



5º PUSHDO conocido como "El amigo de Zeus"


Pushdo es una nueva generación de Troyano multiusos (polivalente) que se utiliza en claves privadas y públicas para proteger la comunicación ( encriptar esta parando poder ser pillada) entre los robots y la central de comando y control (C & C). El Troyano Pushdo se esta utilizado para distribuir cepas secundarias de malware como ZeuS y SpyEye además de spam.

Cuando las máquinas están infectadas con Pushdo, la botnet de control que genera, se utiliza para entregar correos maliciosos con enlaces a sitios web que los usuarios troyanos bancarios, como Zeus, Torpig y Bugat se distribuyan . 
A veces, los mensajes pueden aparentar ser entregas de  tarjetas de crédito o que contienen un accesorio, entrega de paquetes así como una confirmación del pedido. Ha comprometido a más de 180.000 direcciones IP únicas en la India, Indonesia, Turquía, Reino Unido, Francia y Estados Unidos.

Nuestro Consejo de seguridad. Las empresas también son las que mayor obligación tienen de mantener actualizados los parches del sistema operativo y de los programas de terceros y ejecutar antimalware fuertes y efectivos en todos los sistemas, ya que son el principal objetivo de estos sistemas.


6º KELIHOS como "El espía"


Este Troyano esta especialmente especializado en obtener datos sensibles, como el tráfico de internet, Bitcoin wallets y además enviar correos electrónicos no deseados. Su forma principal de propagación es a través de mensajes spam, enviados a quienes no les gusta las medidas económicas y políticas adoptadas contra Rusia, pretendiendo ofrecer una aplicación que ataca a las agencias gubernamentales responsables de las sanciones económicas contra Rusia.

Después de hacer clic en los enlaces o archivos adjuntos malicioso, la víctima descarga un archivo ejecutable que instala al troyano. 
En ese momento, el troyano se comunica con el (C & C) central, y mediante el intercambio de mensajes cifrados en HTTP hace las peticiones, para obtener más instrucciones y ejecutar su phaload. Las víctimas provienen de Ucrania, Rusia, Taiwán, Japón y la India.

Consejo para la seguridad. No instalar aplicaciones de terceros sospechosas, vamos que no bajéis soft pirata, que si sois una empresa lo podéis desgrabar y para el resto, les decimos lo de siempre, o vete a Linux o pásate a Mac.


7º GAMEOVER ZEUS conocido como "El Padre" 


Una variante mas, GameOver Zeus del tipo peer-to-peer de la familia de malware bancario Zeus altamentamente especializado en el robo de credenciales, normalmente a través de la difusión de correos electrónicos de phishing que se hacen pasar por facturas. 

Y Una vez que los usuarios infectados visitan el sitio web bancario a través de un equipo infectado, Gameover Zeus comienza a funcionar, lo 1º intercepta la sesión en línea utilizando la técnica man-in-the-browser (MITB). 
Hasta Puede omitir la autenticación de dos factores y mostrar mensajes de seguridad bancarios fraudulentos para conseguir  información para la autorización de la transacción. Tan pronto como los atacantes consiguen estos datos, ya pueden modificar las transacciones bancarias de los usuarios y robar su dinero. 
El malware GameOver Zeus ha infectado, hasta el momento, entre  de 500.000 a 1 millón de PCs desde los Estados Unidos, India, Singapur, Japón, Alemania, Ucrania, Bielorrusia y otros países.

Una prueba más de que están en desarrollo, es que Fue utilizado como una plataforma para la distribución de CryptoLocker.

Consejo para la seguridad. 

Recordar lo que siempre decimos, Los bancos y otras instituciones acreditadas no solicitan información financiera vía email, así que no debe responder a los correos electrónicos no solicitados.



Mirando todo este nuevo ecosistema de las amenazas de seguridad actuales, tenemos que tener algo muy claro: 
1º Que Las empresas se han convertido en el foco de ataques dirigidos. 
2º Que Los ataques contra sus infraestructuras se han convertido cada vez más sofisticadas. 
3º Que Los atacantes quieren tomar ventaja de la reputación y la disponibilidad de su conexión       amplia para lanzar campañas de ciberdelito cada vez mayores y extraer datos valiosos. 
4º Que Además, aunque tras la caída en el mes de junio de la botnet de Zeus, se pudo temporalmente detener la propagación del ransomware Cryptolocker, sin embargo el ransomware en su conjunto sigue evolucionando y se traslada a nuevas plataformas y sistemas operativos. 
5º Por lo cual, No es de extrañar, que los datos financieros siguen siendo la información más valiosa, buscada y específica a la que estos nuevos malwares se están diseñando convirtiendo sus métodos maliciosos en cada vez, más elaborados y sofisticados.








Nuestro Consejo de seguridad.  mantener sus firmas actualizadas y nuestros mac siempre actualizados.

Los códigos maliciosos más peligrosos del 2014







Se acaba el año, y desde soymaquero.net, vamos ha hacer una recopilación de los códigos maliciosos, malwares, spyware, scareware y demás basuras, que durante este 2014, se han dado a conocer, ya hablamos de ellos en nuestro programa de jobsianos y en este blog, pero aún así hay que recordarlos, por que son una guía de lo que nos viene, y no tardarán mucho en verlos funcionando, ya que algunos de estos, solo estaban en periodo de desarrollo, comenzamos 



lunes, 28 de abril de 2014

ALERTA: 0-DAY en TODOS los navegadores de internet explorer

A sido Descubierta una vulnerabilidad que afecta a todas las versiones de Internet Explorer

debido a la gravedad del fallo, transcribimos el informe a continuación en ingles original y en enlace a la referencia de Microsoft sobre este fallo

 

La empresa de seguridad FireEye ha descubierto recientemente una vulnerabilidad en Internet Explorer que da vía libre a ataques "zero-day" (ataques que se producen en cuanto dicha vulnerabilidad es descubierta) al navegador. Afecta a todas las versiones desde la 6 a la 11, pero las mas afectadas son, concretamente a las versiones 9, 10 y 11.

Todos los usuarios que estén ejecutando un Windows que no sea de la gama Server están afectados, por lo tanto es muy probable que lo estés si estás leyendo este artículo desde Windows.

El ataque, con mas exactitud, se beneficia de un archivo SWF (Flash) para manipular la memoria que utiliza el navegador.

Lo que significa, que no estaremos expuestos si no tenemos Flash instalado, aunque como el Internet Explorer 10 y 11 lo llevan por defecto ya esta el lio montado.

La empresa FireEye ya ha informado a Microsoft del problema, y en Redmond lo están investigando para encontrar una solución.

No hay aun oficialmente ni fecha ni datos de cómo y cuándo se va a resolver, pero tratándose de un error así no creo que tardemos mucho en recibir una respuesta oficial. De momento ya estánintentando algo aumentando el nivel y siendo más estrictos en los niveles y aumentando las barreras contra el adware.

 

este es e informe de FireEye, en ingles, explicando el fallo

 

 

New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks

FireEye Research Labs identified a new Internet Explorer (IE) zero-day exploit used in targeted attacks. The vulnerability affects IE6 through IE11, but the attack is targeting IE9 through IE11. This zero-day bypasses both ASLR and DEP. Microsoft has assigned CVE-2014-1776 to the vulnerability and released security advisory to track this issue.

Threat actors are actively using this exploit in an ongoing campaign which we have named “Operation Clandestine Fox.” However, for many reasons, we will not provide campaign details. But we believe this is a significant zero day as the vulnerable versions represent about a quarter of the total browser market. We recommend applying a patch once available.

According to NetMarket Share, the market share for the targeted versions of IE in 2013 were:

IE 9 13.9%

IE 10 11.04%

IE 11 1.32%

Collectively, in 2013, the vulnerable versions of IE accounted for 26.25% of the browser market. The vulnerability, however, does appear in IE6 through IE11 though the exploit targets IE9 and higher.

The Details

The exploit leverages a previously unknown use-after-free vulnerability, and uses a well-known Flash exploitation technique to achieve arbitrary memory access and bypass Windows’ ASLR and DEP protections.

Exploitation

• Preparing the heap

The exploit page loads a Flash SWF file to manipulate the heap layout with the common technique heap feng shui. It allocates Flash vector objects to spray memory and cover address 0×18184000. Next, it allocates a vector object that contains a flash.Media.Sound() object, which it later corrupts to pivot control to its ROP chain.

• Arbitrary memory access

The SWF file calls back to Javascript in IE to trigger the IE bug and overwrite the length field of a Flash vector object in the heapspray. The SWF file loops through the heapspray to find the corrupted vector object, and uses it to again modify the length of another vector object. This other corrupted vector object is then used for subsequent memory accesses, which it then uses to bypass ASLR and DEP.

• Runtime ROP generation

With full memory control, the exploit will search for ZwProtectVirtualMemory, and a stack pivot (opcode 0×94 0xc3) from NTDLL. It also searches for SetThreadContext in kernel32, which is used to clear the debug registers. This technique, documented here, may be an attempt to bypass protections that use hardware breakpoints, such as EMET’s EAF mitigation.

With the addresses of the aforementioned APIs and gadget, the SWF file constructs a ROP chain, and prepends it to its RC4 decrypted shellcode. It then replaces the vftable of a sound object with a fake one that points to the newly created ROP payload. When the sound object attempts to call into its vftable, it instead pivots control to the attacker’s ROP chain.

• ROP and Shellcode

The ROP payload basically tries to make memory at 0×18184000 executable, and to return to 0x1818411c to execute the shellcode.

0:008> dds eax

18184100 770b5f58 ntdll!ZwProtectVirtualMemory

18184104 1818411c

18184108 ffffffff

1818410c 181840e8

18184110 181840ec

18184114 00000040

18184118 181840e4

Inside the shellcode, it saves the current stack pointer to 0×18181800 to safely return to the caller.

mov dword ptr ds:[18181800h],ebp

Then, it restores the flash.Media.Sound vftable and repairs the corrupted vector object to avoid application crashes.

18184123 b820609f06 mov eax,69F6020h

18184128 90 nop

18184129 90 nop

1818412a c700c0f22169 mov dword ptr [eax],offset Flash32_11_7_700_261!AdobeCPGetAPI+0x42ac00 (6921f2c0)

18184133 b800401818 mov eax,18184000h

18184138 90 nop

18184139 90 nop

1818413a c700fe030000 mov dword ptr [eax],3FEh ds:0023:18184000=3ffffff0

The shellcode also recovers the ESP register to make sure the stack range is in the current thread stack base/limit.

18184140 8be5 mov esp,ebp

18184142 83ec2c sub esp,2Ch

18184145 90 nop

18184146 eb2c jmp 18184174

The shellcode calls SetThreadContext to clear the debug registers. It is possible that this is an attempt to bypass mitigations that use the debug registers.

18184174 57 push edi

18184175 81ece0050000 sub esp,5E0h

1818417b c7042410000100 mov dword ptr [esp],10010h

18184182 8d7c2404 lea edi,[esp+4]

18184186 b9dc050000 mov ecx,5DCh

1818418b 33c0 xor eax,eax

1818418d f3aa rep stos byte ptr es:[edi]

1818418f 54 push esp

18184190 6afe push 0FFFFFFFEh

18184192 b8b308b476 mov eax,offset kernel32!SetThreadContext (76b408b3)

18184197 ffd0 call eax

The shellcode calls URLDownloadToCacheFileA to download the next stage of the payload, disguised as an image.

Mitigation

Using EMET may break the exploit in your environment and prevent it from successfully controlling your computer. EMET versions 4.1 and 5.0 break (and/or detect) the exploit in our tests.

Enhanced Protected Mode in IE breaks the exploit in our tests. EPM was introduced in IE10.

Additionally, the attack will not work without Adobe Flash. Disabling the Flash plugin within IE will prevent the exploit from functioning.

Threat Group History

The APT group responsible for this exploit has been the first group to have access to a select number of browser-based 0-day exploits (e.g. IE, Firefox, and Flash) in the past. They are extremely proficient at lateral movement and are difficult to track, as they typically do not reuse command and control infrastructure. They have a number of backdoors including one known as Pirpi that we previously discussed here. CVE-2010-3962, then a 0-day exploit in Internet Explorer 6, 7, and 8 dropped the Pirpi payload discussed in this previous case.

As this is still an active investigation we are not releasing further indicators about the exploit at this time.

Acknowledgement: We thank Christopher Glyer, Matt Fowler, Josh Homan, Ned Moran, Nart Villeneuve and Yichong Lin for their support, research, and analysis on these findings.

enlace a technet donde dan informacion desde microsoft https://technet.microsoft.com/es-es/library/security/2963983

 

ALERTA: 0-DAY en TODOS los navegadores de internet explorer

A sido Descubierta una vulnerabilidad que afecta a todas las versiones de Internet Explorer

debido a la gravedad del fallo, transcribimos el informe a continuación en ingles original y en enlace a la referencia de Microsoft sobre este fallo

 

La empresa de seguridad FireEye ha descubierto recientemente una vulnerabilidad en Internet Explorer que da vía libre a ataques "zero-day" (ataques que se producen en cuanto dicha vulnerabilidad es descubierta) al navegador. Afecta a todas las versiones desde la 6 a la 11, pero las mas afectadas son, concretamente a las versiones 9, 10 y 11.

miércoles, 26 de febrero de 2014

Alerta: Un rootkit afecta a los servidores con sistema operativo Linux

 

 

Aunque ha sido detectado recientemente, algunos investigadores ya afirman que se trata de una amenaza que requiere bastante importancia por los usuarios del sistema operativo.

Aún no se ha podido cuantificar el número de ordenadores o servidores que se han podido ver afectados pero si afirman que se trata de un rootkit que aún se encuentra en estado de desarrollo, por lo que es probable que la versión definitiva sea más poderosa que la versión que se encuentra en circulación.

Antes de entrar en el problema en cuestión, un rootkit es un programa que permite acceder con todos los privilegios a un equipo, Además, es totalmente invisible, por lo que los administradores del sistema no son conscientes de lo que está sucediendo, sólo viendo un funcionamiento anómalo del mismo.

En este caso, el rootkit fue descubierto el día 13 del pasado mes y afecta principalmente a servidores que tienen como sistema operativo Debian o Ubuntu, así como las versiones de escritorio de ambas versiones, tanto para 32 como para 64 bits.

Funcionamiento de esta amenaza

Evidentemente para instalar el rootkit, en primer lugar se debe haber accedido a la raíz del sistema. Una vez infectado el sistema, si se trata de un servidor, éste permite al atacante inyectar código en las páginas web del servidor y así, los usuarios que accedan a esta página se verán afectados por el código malicioso que ha sido ubicado en ella.

El rootkit ya ha sido identificado con el nombre Rootkit.Linux.Snakso.a y afecta a las versiones 2.6.32-5-amd64 del kernel de Linux.

Algunas conclusiones extraídas

A día de hoy ya existen algunas opiniones de expertos que indican que no se trata de un rootkit construido a través de las variantes que existen a día de hoy. Además, afirman que su tamaño indica que es probable que en corto plazo de tiempo pueda extenderse y que ésta solo sea una versión de prueba.

Indican que a pesar de que pueda afectar a usuarios domésticos, el rootkit está destinado a servidores Linux utilizados por empresas o páginas web.

 

Alerta: Un rootkit afecta a los servidores con sistema operativo Linux

 

 

Aunque ha sido detectado recientemente, algunos investigadores ya afirman que se trata de una amenaza que requiere bastante importancia por los usuarios del sistema operativo.

Aún no se ha podido cuantificar el número de ordenadores o servidores que se han podido ver afectados pero si afirman que se trata de un rootkit que aún se encuentra en estado de desarrollo, por lo que es probable que la versión definitiva sea más poderosa que la versión que se encuentra en circulación.

Antes de entrar en el problema en cuestión, un rootkit es un programa que permite acceder con todos los privilegios a un equipo, Además, es totalmente invisible, por lo que los administradores del sistema no son conscientes de lo que está sucediendo, sólo viendo un funcionamiento anómalo del mismo.

En este caso, el rootkit fue descubierto el día 13 del pasado mes y afecta principalmente a servidores que tienen como sistema operativo Debian o Ubuntu, así como las versiones de escritorio de ambas versiones, tanto para 32 como para 64 bits.

Funcionamiento de esta amenaza

Evidentemente para instalar el rootkit, en primer lugar se debe haber accedido a la raíz del sistema. Una vez infectado el sistema, si se trata de un servidor, éste permite al atacante inyectar código en las páginas web del servidor y así, los usuarios que accedan a esta página se verán afectados por el código malicioso que ha sido ubicado en ella.

El rootkit ya ha sido identificado con el nombre Rootkit.Linux.Snakso.a y afecta a las versiones 2.6.32-5-amd64 del kernel de Linux.

Algunas conclusiones extraídas

A día de hoy ya existen algunas opiniones de expertos que indican que no se trata de un rootkit construido a través de las variantes que existen a día de hoy. Además, afirman que su tamaño indica que es probable que en corto plazo de tiempo pueda extenderse y que ésta solo sea una versión de prueba.

Indican que a pesar de que pueda afectar a usuarios domésticos, el rootkit está destinado a servidores Linux utilizados por empresas o páginas web.

 

jueves, 13 de febrero de 2014

Frankenmalware, nuevos virus a la vista

Llega el ‘FrankenMalware’, mutación de  los virus y gusanos informáticos.






Aunque parezca ciencia ficción, Los virus están infectando accidentalmente a diversos gusanos en los equipos de las víctimas, creando un malware híbrido al que se le designa ‘FrankenMalware’ que se propaga más rápidoy lanzar ataques contra los sistemas, cuentas bancarias y datos privados de una manera que ni siquiera imaginadan  los propios creadores de malware.

 intentemos explicar esto un poco, para ello, hagamos un ejercicio de imaginación:

Imaginemos estas dos piezas de malware trabajando juntas – voluntariamente o no – en el mismo sistema operativo, Como cuenta Loredana Botezatu, analista de amenazas online de Bitdefender y autora del estudio sobre este tipo de malware híbrido.  ”Ese PC se enfrenta a un malware doble con el doble de comandos y el doble de servidores para recibir instrucciones: además, hay dos puertas traseras abiertas, dos técnicas de ataque activo y varios métodos de propagación. Cuando uno falla, el otro tiene éxito”.



Segun un análisis realizado por la empresa  Bitdefender se encontrraron más de 40.000 ejemplares de este tipo de malware – al que han bautizado como “Frankenmalware” – en un estudio de 10 millones de archivos infectados llevado a cabo a comienzos de enero, lo que supone un 0,4 por ciento del malware analizado. Si tenemos en cuenta que el malware activo en todo el mundo está en torno a los 65 millones, esto supone que 260.000 ejemplares de este tipo están amenazando los ordenadores de los usuarios.
“Cuando un usuario recibe uno de estos híbridos en su sistema, se enfrenta a la pérdida de dinero, problemas informáticos, robo de identidad, y una oleada de spam que puede ser lanzada desde su equipo”, señala Botezatu.


“La llegada de este tipo de malware da un nuevo giro al mundo del malware, ya que se propagan de manera más eficiente, y su comportamiento cada vez será
más difícil de predecir”, añade.


¿A qué nuevos riesgos a los que nos enfrentamos?



Aunque no hay datos antiguos que puedan dar mas información sobre este tipo de malware, lo cierto es que el número de híbridos ha crecido en los últimos años y probablemente seguirá aumentando al mismo ritmo que el malware en general. segun el estudio de la empresa de antivirus Bitdefender,  el Frankenware crecerá un 17 por ciento este año.



Todos losarchivos  híbridos de  este malware, analizados hasta el momento, se han creado de forma accidental. Pero lo cierto es que el riesgo que representan este nuevo hibrido podría aumentar drásticamente a medida que los delincuentes comiencen a fabricar sus propios ficheros, o que alguno  lanze una nueva generación de malware específicamente creado para provocar esta infección.


La empresa Bitdefender presentó su estudio después de encontrar ejemplares del gusano Rimecud infectados por el virus Virtobfile. El virus Rimecud, entre otras funciones, roba contraseñas de banca electrónica, cuentas de tiendas de compra online, redes sociales y correo electrónico. El virus Virtob, realiza la siguientes actividades:
 permite recibir órdenes de un atacante remoto, saltarse el cortafuegos, y asegurar su persistencia mediante la inyección de código en “Winlogon”, un proceso crítico del sistema.

todo esto hace que tengamos que estar muy atento al desarrollo de este nuevo tipo de malware

Fuente: Bitdefender

Frankenmalware, nuevos virus a la vista

Llega el ‘FrankenMalware’, mutación de  los virus y gusanos informáticos.






Aunque parezca ciencia ficción, Los virus están infectando accidentalmente a diversos gusanos en los equipos de las víctimas, creando un malware híbrido al que se le designa ‘FrankenMalware’ que se propaga más rápidoy lanzar ataques contra los sistemas, cuentas bancarias y datos privados de una manera que ni siquiera imaginadan  los propios creadores de malware.

sábado, 21 de diciembre de 2013

ALERTA: i2ninja, malware financiero


i2Ninja - Un nuevo malware financiero que se venden en underground  de rusia



investigadores de la empresa Trusteer  han descubierto un nuevo malware financiero, conocido como i2Ninja, que se venden en un foro de  ciberdelincuencia ruso.

Un nuevo malware financiero denominado i2Ninja ataca a los servicios de juego online y sistemas bancarios , a pesar de que aún no se ha descubierto el malware completo, los investigadores de la empresa IBMTrusteer han encontrado rastros significativos del código malicioso en el "Underground".

i2Ninja se vende en un foro de la delincuencia cibernética de Rusia, Y ofrece en un mercado ideal para la compra y venta de códigos maliciosos o para poder ejecutar la personalización y con ello explotar la venta del  conocido como  el malware-as-a-service . En los malware financiero anteriores, como Zeus , Spyeye , Carberp ,Ciudadela y otros, el malware financiero se ofercia en los foros del mercado negro que permite a los autores que siguen siendo de bajo perfil.

i2Ninja es un troyano del tipo peer-to-peer  que puede ser utilizado por los ciberdelincuentes para robar tarjetas de crédito y otra información financiera, presenta las mismas características del malware financiero más popular. El malware i2Ninja toma su nombre de I2P , un sistema de anonimato similar a Tor .






"De acuerdo a un post en el foro ciberdelincuencia ruso, i2Ninja ofrece una serie de capacidades similares a los ofrecidos por otros grandes malware financiero: la inyección de HTML y forma el acaparamiento de todos los principales navegadores (Internet Explorer, Firefox y Chrome), capturador de FTP y un que pronto será liberado VNC (Virtual Network Connection) módulo.Además, el malware también proporciona un módulo PokerGrabber focalización principales sitios de póquer en línea y un capturador de correo electrónico ".

El proceso de infección es el clásico drive-by, un esquema de infección que propone a las víctimas de falsos anuncios y enlaces falsos, pero el malware podría ser utilizado para infectar a los objetivos específicos a través de una caspear phishing campaña.





i2Ninja tiene diferentes capacidades de inyección de HTML y pronto proporcionar una red Virtual Network Computing (VNC) y Módulo para el control remoto, al igual que otras familias de malware más populares.

"Una vez que un malware sea capaz VNC infecta un dispositivo, las opciones del atacante son casi ilimitadas." Dijo Etay Maor, gerente de soluciones de prevención del fraude en Trusteer.

Otra capacidad interesante de i2Ninja es que puede  ser utilizado también para los usuarios de los sitios web de juegos como los sitios de póquer y de correo electrónico que ase objetivo.

Maor sostiene que el uso de I2P es una apuesta ganadora, I2P es el "verdadero Darknet" que ofrece una mejor protección que Tor y lo hace más difícil de investigar y entender la infraestructura y las capacidades del malware, pero el investigador también añadió que es sólo cuestión de tiempo antes de que el cifrado I2P está roto, como sucedió por Tor en el caso de la explotación de una vulnerabilidad de Firefox.



"Uso de la red I2P, i2Ninja puede mantener comunicaciones seguras entre los dispositivos infectados y el mando y control de servidor. Todo, desde la entrega de actualizaciones de configuración para la recepción de datos robados y envío de comandos se realiza a través de los canales de I2P cifrados. El malware i2Ninja también ofrece a los compradores un proxy para navegar por Internet en el anonimato, prometiendo el anonimato en línea completa. "

No es fácil predecir el impacto de i2Ninja en la banca, pero el malware parece estar en plena producción y actividad.

"El criminal cibernético que ofrece el programa malicioso en el underground, indica que tiene suficiente volumen de negocio debido a la publicidad oculta del malware y ha indicado que él no puede manejar más solicitudes para comprar el malware", "El criminal cibernético que ha publicado la información sobre i2Ninja en un foro conocido es un reconocido y creíble miembro de este. "dijo Maor.

A continuación es una traducción del mensaje de Rusia de que el anuncio de i2Ninja:






las Últimas informaciones sobre el malware están relacionadas con el servicio al cliente ofrecido por los autores, i2Ninja proporciona un servicio de asistencia integral a través de un sistema de venta de accesos al panel de control  del malware. Un comprador potencial puede interactuar con el equipo de apoyo siempre de forma anónima a través de I2P.

"A pesar de algunas ofertas de malware han ofrecido una interfaz con un equipo de apoyo en el pasado (Ciudadela y Neosploit por nombrar dos), 24/7 canal help desk seguro de i2Ninja es la primera vez que lo hace."

las actividades de este Ciberdelincuente están creciendo a un ritmo alarmante, la liberación de varias fuentes  de código de malware y la venta de nuevos agentes maliciosos son la evidencia de la fertilidad del trabajo de estos.

fuente
http://securityaffairs.co/wordpress/19876/cyber-crime/i2ninja-new-financial-malware.html

ALERTA: i2ninja, malware financiero


i2Ninja - Un nuevo malware financiero que se venden en underground  de rusia



investigadores de la empresa Trusteer  han descubierto un nuevo malware financiero, conocido como i2Ninja, que se venden en un foro de  ciberdelincuencia ruso.

Un nuevo malware financiero denominado i2Ninja ataca a los servicios de juego online y sistemas bancarios , a pesar de que aún no se ha descubierto el malware completo, los investigadores de la empresa IBMTrusteer han encontrado rastros significativos del código malicioso en el "Underground".