Malware de control remoto empaquetado en instaladores de Zoom
Obtener enlace
Facebook
X
Pinterest
Correo electrónico
Otras aplicaciones
Investigadores de TrendMicro han encontrado una familia de troyanos de control remoto (RAT) distribuidos junto con instaladores legítimos de Zoom. El confinamiento por la pandemia del coronavirus ha disparado el uso
de aplicaciones de videoconferencia como Zoom. El perfil de sus usuarios
es muy variado y algunos menos técnicos son un punto flaco que
ciberdelincuentes aprovechan para llevar a cabo sus ataques.
Zoom ya ha sido el objetivo de atacantes e investigadores de seguridad que han aprovechado y descubierto varias vulnerabilidades en este período de confinamiento.
En este caso no se trata de un fallo de seguridad en el programa,
sino un esquema de ataque mucho más simple que utiliza la popularidad
del software como cebo: los ciberdelincuentes distribuyen instaladores
de Zoom legítimos empaquetados junto con un «backdoor» que permite controlar de forma remota al equipo infectado.
Este troyano ha sido bautizado por los investigadores como «RevCode
WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO)». Y permite tomar el
control de la máquina que ha sido infectada:
Añadir, borrar o modificar ficheros e información del registro.
Cerrar conexiones bajo demanda.
Exfiltrar información sobre el software o el hardware de la máquina.
Tomar capturas de la webcam del dispositivo.
Grabar audio y pulsaciones de teclado.
Iniciar, suspender o terminar procesos o servicios.
Retransmitir en directo la pantalla de la víctima.
Conectar o desconectar el WiFi.
Para asegurar su persistencia se instala el fichero «Zooom.vbs» en la carpeta de inicio del usuario, lo que permite la ejecución del malware al inicio del sistema.
Siempre y cuando no se detecte ningún indicio de que hay un analista
intentando descubrir sus mecanismos. Para ello comprueba la presencia de
procesos como:
aswidagent.exe
avastsvc.exe
avastui.exe
avgsvc.exe
avgui.exe
avp.exe
bdagent.exe
bdwtxag.exe
dwengine.exe
mpcmdrun.exe
msmpeng.exe
nissrv.exe
ollydbg.exe
procexp.exe
procexp64.exe
procmon.exe
procmon64.exe
windbg.exe
Y finaliza su ejecución en caso de encontrar alguno. No solo eso,
también se comprueba si el entorno en el que se está ejecutando se trata
de una máquina virtual:
Kernel-based Virtual Machine
Microsoft Hypervisor
Parallels Hypervisor
VirtualBox
VMware
Xen Virtual Machine Manager
O si encuentra ficheros de nombre similar a alguno de los siguientes:
Malware
Sample
Sandbox
Todo esto complica el análisis a un experto y lo hace indetectable para el usuario con menos experiencia.
La víctima ejecutará una instalación legítima de Zoom que funcionará de la forma habitual. Sin embargo en este punto su máquina ya habrá sido comprometida.
Las muestras analizadas por TrendMicro enviaban la información de la víctima a través de peticiones HTTP POST a la URL hxxps://213.188.152.96/recv7[.]php y utilizaban la URL dabmaster[.]wm01[.]to y barclaysb[.]wm01[.]to como servidor de control y comando.
En 2017 se registró un pico histórico de vulnerabilidades en Android, 2018 fue el año de los criptomineros móviles y el primer semestre de 2019 trajo graves vulnerabilidades en librerías y aplicaciones que posibilitaban la instalación de malware en teléfonos inteligentes. En esta publicación te acercamos la actualidad del estado de la seguridad móvil, repasando las novedades que acaecieron en la segunda mitad de 2019 y resumiendo las estadísticas finales de lo que dejó el año que se acaba de ir. 2019 y la seguridad en Android Es indudable que Android es el sistema operativo móvil más utilizado en el mundo , concentrando actualmente el 76% del mercado. Aún hoy, la fragmentación debido a las diversas versiones activas del sistema continúa vigente: el 90% de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre ni siquiera Oreo. Esta mayor cantidad de usuarios –o potenciales víctimas– y la variedad del ecosistema es, en ...
Actualización, 16 de enero de 2025: Esta historia, publicada originalmente el 15 de enero, ahora incluye una declaración de Microsoft sobre los exploits de día cero de Windows. Como si los usuarios de Windows no tuvieran suficiente de qué preocuparse cuando se trata de problemas de seguridad, desde el próximo fin del soporte de seguridad para Windows 10 hasta un aumento en los ciberataques rusos , ahora Microsoft ha confirmado que se están utilizando tres nuevos exploits de día cero en los ciberataques en curso. Esto es lo que necesitas saber. Todos los usuarios de Windows alertados de tres ataques de día cero que ya están en marcha Microsoft ha publicado el último resumen de parches de seguridad de Patch Tuesday, y este mes, es una maravilla: 159 vulnerabilidades, 12 de las cuales son críticas e incluyen no menos de ocho días cero; tres de los cuales ya se sabe que están bajo explotación activa según Microsoft. "Este es definitivamente uno de e...
Los actores de amenazas chinos utilizan un kit de herramientas de post-explotación personalizado llamado 'DeepData' para explotar una vulnerabilidad de día cero en el cliente VPN de Windows FortiClient de Fortinet que roba credenciales. El día cero permite a los actores de amenazas eliminar las credenciales de la memoria después de que el usuario se haya autenticado con el dispositivo VPN. Los investigadores de Volexity informan que descubrieron esta falla a principios de este verano y la informaron a Fortinet, pero el problema sigue sin solucionarse y no se le ha asignado ningún CVE. "Volexity informó esta vulnerabilidad a Fortinet el 18 de julio de 2024, y Fortinet reconoció el problema el 24 de julio de 2024", explica el informe . "Al momento de escribir este artículo, este problema sigue sin resolverse y Volexity no tiene conocimiento de un número CVE asignado". Apuntando a las credenciales de VPN Los ataques son realizados por piratas informáticos...
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios