ZeroCleare: un malware de borrado de datos de APT34 y xHunt

  • 0 Respuestas
  • 261 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Dragora

  • *
  • Moderador Global
  • Mensajes: 1337
  • Actividad:
    100%
  • Country: gt
  • Reputación 16
  • La resistencia es inútil, serás absorbido.
    • Ver Perfil


Los investigadores de seguridad de IBM dieron a conocer hace algunos días que detectaron una nueva familia de malware llamada “ZeroCleare”, creado por un grupo de hackers iraníes APT34 junto con xHunt, este malware está dirigido contra los sectores industrial y energético en el Medio Oriente. Los investigadores no revelan los nombres de las compañías víctimas, pero dedicaron un análisis del malware a un informe detallado de 28 páginas.

ZeroCleare afecta solamente a Windows ya que como su nombre lo describe la ruta de la base de datos del programa (PDB) de su archivo binario se usa para ejecutar un ataque destructivo que sobrescribe el registro de arranque maestro (MBR) y las particiones en máquinas Windows comprometidas.

ZeroCleare se cataloga como una malware con un comportamiento algo similar al de “Shamoon” (un malware del cual se habló mucho debido a que se utilizó para ataques a las compañías petroleras que datan de 2012) Aunque Shamoon y ZeroCleare tienen capacidades y comportamientos similares, los investigadores dicen que los dos son piezas de malware separadas y distintas.

Al igual que el malware Shamoon, ZeroCleare también utiliza un controlador de disco duro legítimo llamado “RawDisk by ElDos”, para sobrescribir el registro de arranque maestro (MBR) y las particiones de disco de las computadoras específicas que ejecutan Windows.

Aunque el controlador ElDos no está firmado, el malware logra ejecutarlo cargando un controlador de VirtualBox vulnerable pero no firmado, explotándolo para omitir el mecanismo de verificación de firma y cargar el controlador ElDos sin firmar.

Este malware se lanza a través de ataques de fuerza bruta para obtener acceso a sistemas de red débilmente seguros. Una vez que los atacantes infectan el dispositivo objetivo, propagan el malware a través de la red de la compañía como el último paso de la infección.

“El limpiador ZeroCleare es parte de la etapa final del ataque general. Está diseñado para desplegar dos formas diferentes, adaptadas a sistemas de 32 bits y 64 bits.

El flujo general de eventos en máquinas de 64 bits incluye el uso de un controlador firmado vulnerable y luego explotarlo en el dispositivo de destino para permitir que ZeroCleare omita la capa de abstracción de hardware de Windows y evitar algunas salvaguardas del sistema operativo que evitan que los controladores no firmados se ejecuten en 64- máquinas de bits “, se lee en el informe de IBM.

El primer controlador de esta cadena se llama soy.exe y es una versión modificada del cargador de controladores Turla.


Vía: You are not allowed to view links. Register or Login


 

Hallan en Google play ""app"" linterna que roba datos bancarios

Iniciado por Denisse

Respuestas: 0
Vistas: 1943
Último mensaje Mayo 01, 2017, 04:18:54 am
por Denisse
Detienen un grupo "Hacker" que vendía datos robados

Iniciado por Dragora

Respuestas: 0
Vistas: 508
Último mensaje Mayo 07, 2020, 01:47:37 am
por Dragora
DEFCON 2019 demo: Usan tu cuenta de Netflix para hacerse con tus datos bancarios

Iniciado por Dragora

Respuestas: 0
Vistas: 714
Último mensaje Agosto 14, 2019, 02:18:48 am
por Dragora
Google admite que permite a otros leer y compartir datos de los correos de Gmail

Iniciado por Andrey

Respuestas: 0
Vistas: 1622
Último mensaje Septiembre 22, 2018, 05:11:05 pm
por Andrey
Facebook revela nuevo incidente de fuga de datos que afecta a miembros de grupos

Iniciado por Dragora

Respuestas: 0
Vistas: 224
Último mensaje Noviembre 07, 2019, 01:41:58 am
por Dragora