Entradas
Un nuevo Troyano malicioso que se usando como reclamos a chewbacca, de Star Wars utiliza la red de anonimato Tor para ocultar sus comunicaciones de comando y control.
La próxima Star Wars película no puede ser programado para llegar hasta el verano de 2015, pero la comercialización tie-ins ya han comenzado - por lo menos cuando se trata de los cibercriminales tratan de hacer dinero fácil y fraudulenta.
Los investigadores de seguridad han descubierto un troyano bancario, que utiliza la red TOR, y que ha sido bautizado como "Chewbacca" por sus creadores. Según informa Kaspersky Lab, que fue la que descubrió el malware en un foro ciberdelincuencia underground, una vez que el malware (detectado como un archivo llamado "Fsysna.fej") infecta con éxito un PC, automaticamente también deja caer una copia de Tor 0.2.3.25, que utiliza el malware para su pathload. El troyano activa un keylogger y envía los datos a los controladores de botnets a través de la red Tor.
Más allá de tomar prestado el nombre del malware de las peliculas de George Lucas, el acceso a la interfaz de inicio de sesión para la red del malware de comando y control (C & C) muestra que quien construyó el malware también utilizo las imagenes de "Juego de clones", que es gratuito, de Stars Wars y de Juego de tronos, incluyendo wallpapers creados por el artista Andrew Lanza.
Para acceder al servidor de Chewbacca el (C & C a través de un servicio oculto de Tor) - - Lo que significa que el servidor de comando es accesible sólo a través de Tor, en lugar de la Internet pública .El servidor C & C ha sido desarrollado usando LAMP (Linux, Apache, MySQL, PHP).
Hasta la fecha, sin embargo, el malware no parece estar muy extendido. "Chewbacca actualmente no se ofrece publicamente en los foros del underground , a diferencia de otros juegos de herramientas tales como Zeus," dijo Kasperksy Lab investigador Marco Preuss en una entrada de blog . "Tal vez sea que esta en desarrollo o el malware es utilizado o compartido en privado."
Chewbacca es el último de una serie de malware que los investigadores de seguridad han descubierto que tocar la red de anonimato Tor. Tal como se detalla en Kaspersky Lab, durante la semana pasada, el malware financiero Zeus consiguió realizar un lavado de cara a principios de este año, moviéndose hacia la compatibiliad con sistemas de 64 bits para los navegadores Internet Explorer, así como añadir la compatibilidad Tor. A principios de este año, por su parte, cuatro hombres fueron arrestados por la policía holandesa por cargos de utilización de este malware contra la banca Torrat, robando aproximadamente 1,4 millones de dólares de sus clientes, dinero que supuestamente blanqueaban, convirtiendo este dinero en bitcoins.
El uso de la red TOR sirve para ocultar las conexiones entre los nodos infectados de botnets - . "Esto protege la localización de un servidor, así como la identidad del propietario en la mayoría de los casos," dijo Preuss.
"Todavía hay algunas desventajas que impiden a muchos criminales la utilización de sus servidores dentro de Tor", añadió. "Debido a la superposición y la estructura, Tor es más lento y los tiempos de espera para una posible actividad de las botnet masiva puede influir en toda la red, como se ha visto con Mevade." -
mevade es un tipo de malware que, después de haber añadido la compatibilidad Tor, fue culpado de un aumento masivo en el tráfico de Tor que se inicio en agosto - ". y por lo tanto permiten investigadores detectar estos con más facilidad, Además, la implementación de Tor añade más complejidad al proceso de detección."
Pero, por otro lado, gracias al uso de Tor, Chewbacca pueden prescindir de la típica táctica de malware bancario que utiliza un servidor de terceros legítimos, que ha sido comprometido por atacantes para almacenar datos robados, que se realiza para hacer que el robo de datos relacionados sea más difícil de detectar . "Con Chewbacca, todos los datos ( grabaciones de keylogger, y la extracción de los datos de la memoria ). Se envía de vuelta al servidor TOR de forma organizada", "Así que no es como otros casos en la zona de descarga y control, son sistemas separados."Gracias a Tor, no lo necesita.
Con El uso de Tor, el propósito principal de Chewbacca es registrar las pulsaciones del teclado y transmitirlas a los atacantes. Al igual que con Torrat, Zeusy el troyano i2Ninja, y casi todos los otros kit de herramientas de crimeware, su principal objetivo es robar las credenciales de acceso de sitios web de la línea financiera de los usuarios, por lo que los atacantes pueden vaciar sus cuentas.
Resumiendo, el objetivo de los criminales es simple ( robar dinero ) las estrategias de ataque que utiliza el malware bancario pueden ser complejos, según un estudio reciente realizado por Symantec de más de 1.000 archivos de configuración utilizados por ocho troyanos bancarios diferentes, que objetivo colectivamente 1.486 organizaciones diferentes en los primeros nueve meses de este año. "Estos archivos de configuración que definen las direcciones URL que el troyano debe atacar y qué estrategia de ataque de usar", dijo el investigador de seguridad de Symantec información Candid Wueest en un martes blog . Por ejemplo, Symantec encontró que las técnicas de ataque ejercidas sobre los objetivos variaron "desde el Redireccionamiento de usuario complejas en la Web los inyecta, que pueden conducir automáticamente las transacciones en el fondo", declararon.
pero Lo realmente importante, estas estrategias de ataque están funcionando. De acuerdo con Symantec, la tasa de infecciones exitosas por los troyanos financieros más comunes se incrementó este año un 337% entre enero y septiembre, infectando a cerca de 500.000 PC por mes.
FUENTE: Karpesky Labs
No hay comentarios:
Publicar un comentario