Malware paranoico!

Iniciado por Gabriela, Mayo 19, 2016, 12:48:37 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 19, 2016, 12:48:37 AM Ultima modificación: Mayo 19, 2016, 01:03:08 AM por Gabriela

Cada vez, los piratas informáticos utilizan nuevas técnicas para evitar ser detectados y poder campar a sus anchas por la red sumando el mayor número de víctimas posible. Recientemente, un experto de seguridad, oculto bajo el seudónimo de FireFOX, ha detectado una nueva pieza de malware no detectada hasta ahora ya que, debido a su paranoia, antes de su ejecución lanza una serie de comprobaciones y comprueba la existencia de más de 400 firmas antivirus y software de seguridad diferentes y, de detectar la más mínima sospecha de esta existencia, cancela su ejecución para pasar totalmente desapercibida.

Este malware ha sido denominado como "Furtim", aunque los expertos de seguridad lo conocen como "The paranoid malware", o el malware paranoico que lleva infectando sistemas desde hace casi un año. Justo antes de su instalación y ejecución, el malware analiza el sistema en busca para comprobar si está siendo ejecutado en un espacio aislado, o sandbox, o en un sistema operativo virtualizado. Si esta primera comprobación pasa con éxito, el malware también busca en el sistema la existencia de cualquier aplicación de análisis forense o la existencia de un software antivirus de una lista con más de 400 software de seguridad diferentes.

Si no detecta ni una máquina virtual, ni un cajón de arena, ni herramientas forenses ni la más mínima presencia de un software antivirus, el malware modifica los DNS del sistema por los de Google y Level3 para evitar sistemas de filtrado de IPs y bloquea el acceso a más de 250 dominios diferentes relacionados con seguridad, como webs de análisis de archivos y de descarga de antivirus.

Por si fuera poca la paranoia del malware, este desactiva todas las notificaciones del sistema operativo y bloquea el acceso a la línea de comandos y al administrador de tareas de Windows.


Si todo está correcto, el malware finalmente se aventura en el sistema, recopilando todo tipo de información (contraseñas de servidores FTP, credenciales de correo electrónico, historial de webs visitadas, contraseñas guardadas en el navegador, etc) con la que se encuentre y enviándola a un servidor con IP rusa pero que, después, se resuelve en una dirección de origen ucraniano. A la hora de intentar aplicar ingeniería inversa, el malware también ha presentado cierta resistencia, especialmente a la hora de adivinar el servidor de control remoto real.

Furtim aún esconde un payload con fines desconocidos

FireFOX ha conseguido averiguar el funcionamiento de dos de los tres payloads de este malware. El primero de ellos se encarga de desactivar todas las opciones de ahorro de energía del sistema (apagado automático, suspensión e hibernación) para garantizar su funcionamiento continuo y el segundo es el payload encargado de recopilar los datos antes mencionados y enviarlos al servidor remoto, sin embargo, esto no acaba aquí.

Según el investigador, aún existe un tercer payload totalmente desconocido al que no ha conseguido hacer ingeniería inversa para crackearlo y ver cómo funciona.

A nivel malicioso, esta herramienta no esconde nada nuevo, se trata de un simple software espía que roba los datos de las víctimas, sin embargo, los responsables de la misma, aún desconocidos, han puesto mucho cuidado en los módulos de auto-protección para evitar su detección, hasta el punto de ser considerado como un malware paranoico. Y recordamos que aún queda un payload por descubrir. ¿Será un ransomware? ¿Una herramienta para controlar los ordenadores de forma remota? No se sabe, lo único seguro es que la web de FireFOX fue víctima de un ataque DDoS en cuanto publicó el análisis de este malware, por lo que está claro que algo grande se esconde en él.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta




Aguardo a que en algún momento se publique una muestra con el código fuente (o parte). Debe ser una pasada leerlo a la luz de las investigaciones y reconstruir el algoritmo de su/s programador/es. 

La "paranoia" del malware -de acuerdo a la descripción de la noticia- le agrega un plus de atracción irresistible; a lo que se me suma  la curiosidad por lo que pueda ocultar ese tercer payload... por algo al investigador que hizo el análisis le dieron caña con un DDoS.

Si alguien sabe o tiene alguna novedad, por favor, comente.

Gabriela
Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.
Mayo 19, 2016, 03:02:32 PM #1
Excelente! Malware como este, deberia ser al que siempre nos enfrentemos. Si vas a hacer algo, hazlo bien.  :P

Ahora, hay que tener en cuenta que hacer algo tan paranoico atrae la vista de aquellos que buscan retos.
Web: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Igm: /secureart
Telegram: @roaddhdc
Correo: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Face: /roaddhdc
Twitter: @roaddhdc
Youtube: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Mayo 22, 2016, 04:49:20 PM #2
Esta buenísimo, yo ya lo había visto hace unos días.. Ojala todos pudiésemos programar cosas así :).. @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta bro, no sabía que estabas por acá.. Soy seguidor de tus clases de HDC :D Ando medio dejado por el momento, pero me encanta. Me cuesta pero amo la informática y el pentesting :')

Saludos !
Junio 11, 2016, 04:22:11 AM #3
Me muero por ponerle mas manos encima algún día para ver como funciona  ;D
Imprimir
Ir Arriba Páginas1
Acciones del Usuario