send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Malware paranoico!

  • 3 Respuestas
  • 1255 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Gabriela

  • *
  • Co Admin
  • Mensajes: 816
  • Actividad:
    5%
  • Reputación 12
    • Ver Perfil
    • Email
« en: Mayo 19, 2016, 12:48:37 am »

Cada vez, los piratas informáticos utilizan nuevas técnicas para evitar ser detectados y poder campar a sus anchas por la red sumando el mayor número de víctimas posible. Recientemente, un experto de seguridad, oculto bajo el seudónimo de FireFOX, ha detectado una nueva pieza de malware no detectada hasta ahora ya que, debido a su paranoia, antes de su ejecución lanza una serie de comprobaciones y comprueba la existencia de más de 400 firmas antivirus y software de seguridad diferentes y, de detectar la más mínima sospecha de esta existencia, cancela su ejecución para pasar totalmente desapercibida.

Este malware ha sido denominado como “Furtim“, aunque los expertos de seguridad lo conocen como “The paranoid malware“, o el malware paranoico que lleva infectando sistemas desde hace casi un año. Justo antes de su instalación y ejecución, el malware analiza el sistema en busca para comprobar si está siendo ejecutado en un espacio aislado, o sandbox, o en un sistema operativo virtualizado. Si esta primera comprobación pasa con éxito, el malware también busca en el sistema la existencia de cualquier aplicación de análisis forense o la existencia de un software antivirus de una lista con más de 400 software de seguridad diferentes.

Si no detecta ni una máquina virtual, ni un cajón de arena, ni herramientas forenses ni la más mínima presencia de un software antivirus, el malware modifica los DNS del sistema por los de Google y Level3 para evitar sistemas de filtrado de IPs y bloquea el acceso a más de 250 dominios diferentes relacionados con seguridad, como webs de análisis de archivos y de descarga de antivirus.

Por si fuera poca la paranoia del malware, este desactiva todas las notificaciones del sistema operativo y bloquea el acceso a la línea de comandos y al administrador de tareas de Windows.


Si todo está correcto, el malware finalmente se aventura en el sistema, recopilando todo tipo de información (contraseñas de servidores FTP, credenciales de correo electrónico, historial de webs visitadas, contraseñas guardadas en el navegador, etc) con la que se encuentre y enviándola a un servidor con IP rusa pero que, después, se resuelve en una dirección de origen ucraniano. A la hora de intentar aplicar ingeniería inversa, el malware también ha presentado cierta resistencia, especialmente a la hora de adivinar el servidor de control remoto real.

Furtim aún esconde un payload con fines desconocidos

FireFOX ha conseguido averiguar el funcionamiento de dos de los tres payloads de este malware. El primero de ellos se encarga de desactivar todas las opciones de ahorro de energía del sistema (apagado automático, suspensión e hibernación) para garantizar su funcionamiento continuo y el segundo es el payload encargado de recopilar los datos antes mencionados y enviarlos al servidor remoto, sin embargo, esto no acaba aquí.

Según el investigador, aún existe un tercer payload totalmente desconocido al que no ha conseguido hacer ingeniería inversa para crackearlo y ver cómo funciona.

A nivel malicioso, esta herramienta no esconde nada nuevo, se trata de un simple software espía que roba los datos de las víctimas, sin embargo, los responsables de la misma, aún desconocidos, han puesto mucho cuidado en los módulos de auto-protección para evitar su detección, hasta el punto de ser considerado como un malware paranoico. Y recordamos que aún queda un payload por descubrir. ¿Será un ransomware? ¿Una herramienta para controlar los ordenadores de forma remota? No se sabe, lo único seguro es que la web de FireFOX fue víctima de un ataque DDoS en cuanto publicó el análisis de este malware, por lo que está claro que algo grande se esconde en él.


Fuente: redeszone.net




Aguardo a que en algún momento se publique una muestra con el código fuente (o parte). Debe ser una pasada leerlo a la luz de las investigaciones y reconstruir el algoritmo de su/s programador/es. 

La "paranoia" del malware -de acuerdo a la descripción de la noticia- le agrega un plus de atracción irresistible; a lo que se me suma  la curiosidad por lo que pueda ocultar ese tercer payload... por algo al investigador que hizo el análisis le dieron caña con un DDoS.

Si alguien sabe o tiene alguna novedad, por favor, comente.

Gabriela
« Última modificación: Mayo 19, 2016, 01:03:08 am por Gabriela »

Desconectado roadd

  • *
  • Underc0der
  • Mensajes: 111
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
    • Hacking Desde Cero By Roadd Dogg
  • Skype: r0add@hotmail.com
  • Twitter: @RoaddHDC
« Respuesta #1 en: Mayo 19, 2016, 03:02:32 pm »
Excelente! Malware como este, deberia ser al que siempre nos enfrentemos. Si vas a hacer algo, hazlo bien.  :P

Ahora, hay que tener en cuenta que hacer algo tan paranoico atrae la vista de aquellos que buscan retos.
Web: You are not allowed to view links. Register or Login
Igm: /secureart
Telegram: @roaddhdc
Correo: r0add@hotmail.com
Face: /roaddhdc
Twitter: @roaddhdc
Youtube: You are not allowed to view links. Register or Login

Desconectado Random

  • *
  • Underc0der
  • Mensajes: 56
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #2 en: Mayo 22, 2016, 04:49:20 pm »
Esta buenísimo, yo ya lo había visto hace unos días.. Ojala todos pudiésemos programar cosas así :).. @You are not allowed to view links. Register or Login bro, no sabía que estabas por acá.. Soy seguidor de tus clases de HDC :D Ando medio dejado por el momento, pero me encanta. Me cuesta pero amo la informática y el pentesting :')

Saludos !

Desconectado maxel512

  • *
  • Underc0der
  • Mensajes: 7
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #3 en: Junio 11, 2016, 04:22:11 am »
Me muero por ponerle mas manos encima algún día para ver como funciona  ;D

 

¿Te gustó el post? COMPARTILO!



Hackers comprometen CCleaner con malware, usuarios deben actualizar cuanto antes

Iniciado por Andrey

Respuestas: 1
Vistas: 665
Último mensaje Septiembre 20, 2017, 12:15:48 am
por Randomize
Android.Bakosy el malware que es capaz de robar contraseñas a través de llamadas

Iniciado por graphixx

Respuestas: 0
Vistas: 1077
Último mensaje Enero 14, 2016, 08:53:00 pm
por graphixx
Utilizan una notificación falsa de Viber para instalar malware en los equipos.

Iniciado por MYokai

Respuestas: 0
Vistas: 871
Último mensaje Octubre 15, 2014, 02:56:03 pm
por MYokai
Este peligroso malware de la Google Play te roba los datos bancarios

Iniciado por Andrey

Respuestas: 1
Vistas: 675
Último mensaje Octubre 03, 2017, 05:00:47 am
por Randomize
Crean un malware que utiliza los ventiladores del ordenador para robar datos

Iniciado por HATI

Respuestas: 2
Vistas: 2144
Último mensaje Julio 08, 2016, 02:55:46 pm
por jaav