Malware: robo de credenciales de Facebook

Iniciado por Gabriela, Abril 15, 2016, 11:53:58 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Abril 15, 2016, 11:53:58 AM Ultima modificación: Abril 15, 2016, 10:05:41 PM por Gabriela

No tengo Facebook, pero me gusta leer sobre técnicas de malware para obtener sus credenciales y hasta se me dibuja, no pocas veces, una sonrisa. Me divierte, ;D ver los pedidos de las codiciadas contraseñas por novi@s celos@s bajo las más variopintas excusas.

Sin embargo,  pienso que el análisis que sintetiza este post no apunta en su mayor parte a ese inseguro público, sino que va dirigido a  otros  escenarios más redituables, esto es,   obtener información privada o sensible para venderla. 

Lo cierto es que  las cirugías del malware, son un tema que me despierta el ánimo investigativo porque es tanto lo que no sé, que cuando leo algo sobre estos tópicos mi cabeza se hace esponja y Google mi compañero.  Así que  independientemente del uso malicioso, su disección es fascinante, es penetrar con un fino escalpelo en la mente de quien lo programó y reconstruir su pensamiento, toda un ejercicio en extremo cautivante.

Estas razones, me llevan a compartir lo que estuve aprendiendo con los amigos de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta , que en  esta ocasión hacen un exhaustivo análisis de una serie de archivos maliciosos (de aparición preponderantemente en Centro América y México) de la familia RAR/Agent que presentaban características comunes, tales como que todas las muestras que examinaron tienen extensión scr (Windows Screen Saver) y además todas utilizan algún ícono relacionado con Acrobat PDF Reader,  la imagen siguiente  siguiente es buen ejemplo de ello.






Las coincidencias de extensión, la similitud de íconos, llevó a sospechar al equipo de seguridad que alguna relación puede haber. A fin de salir de dudas, analizan las muestras con Cuckoo para detectar la existencia de elementos o patrones comunes en la operatividad de las amenazas.


De donde señalan:
Citar"En este caso resulta útil el hecho de que Cuckoo arroje los resultados en un archivo json, el cual es fácilmente analizable. De este análisis resultan algunas características comunes a todos los archivos analizados. Dentro de las más relevantes encontramos el hecho de tener un módulo que cumple la función de ser un keylogger, crear archivos con extensión .EXE en la computadora del usuario, instalarse para iniciar con el sistema y generar tráfico de red, entre otras que pueden considerarse como sospechosas. Así que hasta este punto nos encontramos con diferentes archivos sospechosos que realizan el mismo tipo de actividad maliciosa y que para el usuario se ven de forma similar. Como si fuera poco, a este grupo de características comunes se agrega que todos los archivos han sido compilados a partir de scripts en Autoit."



Esta primera fase de análisis les permitió comprobar similares comportamientos en las muestras, mientras que el análisis dinámico verificó una característica común de funcionamiento en todos los archivos:
Citar"...todos crean un archivo .EXE y un archivo script que contiene todo el código malicioso pero de forma ofuscada. El ejecutable no corresponde a un archivo malicioso, ya que solamente sirve para ejecutar scripts en Autoit. Después de trabajar un poco en descifrar el código del script, empiezan a aparecer algunas características de este código malicioso:"






Citar"Por ejemplo, se puede ver cómo se referencia el script que se va a ejecutar y es invisible durante su ejecución.
Además de lo anterior, dentro del código del script, seguimos encontrando funcionalidades similares a todas las muestras analizadas. Precisamente una de estas son los mecanismos utilizados para proteger en entornos virtualizados, particularmente para este grupo de muestras analizadas VMware y VirtualBox."







Por otra parte, y conforme a la imagen siguiente, los investigadores comprobaron la capacidad que tienen para  la persistencia en el sistema, de manera que todas las muestras tienen las mismas dos funciones: modificar los registros de Windows e iniciarse con cada nuevo arranque del sistema.





A lo anotado precedentemente, súmese que los archivos analizados, en su mayor parte aparecían con el código ofuscado, bajo una idéntica  técnica: dos funciones anidadas. Una convierte de hexadecimal a ASCII, y otra invierte la cadena de caracteres.






Asimismo, los investigadores anotan que la función maliciosa más relevante, era la de robar información relacionada con Facebook, en la medida  que el malware cuenta con una función que va copiando  todo al portapapeles a modo de contenedor de la información o credenciales del usuario; sin perjuicio de obtener información sensible del SO y los perfiles creados en el ordenador.






En fin, las técnicas cambian, mutan,  se perfeccionan, pero será siempre [en mi opinión] la ingeniería social el arma más poderosa del hacking, porque la mayor parte de las infecciones necesitan: click!


Gabriela



***Las imágenes y las citas pertenecen a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta sitio donde se puede ampliar la información***




Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.

HOLA!!!

Buen post, la extension scr no es vista como maliciosa por los usuarios generalmente, es una buena idea enviarla para fomentar el click.

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scouts Team*                                                No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Abril 15, 2016, 01:39:16 PM #2 Ultima modificación: Abril 15, 2016, 01:54:31 PM por Gabriela
 
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta , exactamente como dices; e incluso al ser una extensión de los protectores de pantalla legítimos, el usuario común -posiblemente- no levante ninguna alarma o sospecha.

No todo el mundo piensa: "Todo archivo, enlace, código fuente, etc. son sospechosos/culpables de un posible intento de infección, hasta que no se demuestre lo contrario", incluido *txt  ;D

Gabriela

Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.

Apenas llego a esta comunidad y caigo en este estupendo tema. Excelente información.

Excelente tema  y buen post.

PD: Con que fomentando el click :)

Enviado desde mi sucio Bang2

"Eso es lo bueno de internet. De que sirve internet si chateas con tus vecinos??? para eso te sacas unas sillas al fresco y hablais y jugais a las cartas". @windux

Les cuento que la extension .scr la uso mucho. cuando un server tiene un icono de foto/animacion ect lo usual quenhago es crear el server con nombre suficientemente largo para que no se note la extension.
Exemplo;
server.exe = Screenshot_868674636363552i686.jpg.scr
  Muy buen resultado