Lo + Nuevo
Tag

malware

Browsing

Las autoridades francesas, con el apoyo de Europol, han iniciado el 18 de julio de 2024 una “operación de desinfección” para limpiar los dispositivos infectados con el malware PlugX.

Las autoridades francesas y Europol están llevando a cabo una "operación de desinfección" dirigida a los dispositivos comprometidos por el malware PlugX.
Las autoridades francesas y Europol están llevando a cabo una “operación de desinfección” dirigida a los dispositivos comprometidos por el malware PlugX.

A raíz de un informe de la firma de ciberseguridad Sekoia.io, la Fiscalía de París comenzó una investigación preliminar sobre una botnet que involucraba a millones de víctimas a nivel mundial, incluyendo miles de dispositivos en Francia. Según las autoridades francesas, la botnet se utilizaba con fines de espionaje. La solución de desinfección fue proporcionada a través de Europol a los países socios, beneficiándose de esta operación internacional.

Donaciones y Apoyo

En septiembre de 2023, los investigadores de Sekoia lograron tomar el control de un servidor C2 vinculado al malware PlugX. Identificaron y adquirieron la dirección IP única asociada a una variante de este gusano por 7 dólares.

“Casi cuatro años después de su lanzamiento inicial, entre ~90,000 a ~100,000 direcciones IP públicas únicas siguen infectadas, enviando solicitudes distintivas de PlugX diariamente a nuestro servidor. Observamos en 6 meses más de 2,5 millones de IPs únicas conectándose a él”, según el informe publicado por Sekoia.

El malware PlugX es un troyano de acceso remoto (RAT) utilizado desde 2008 por varios grupos APT vinculados a China, incluyendo Mustang Panda, Winnti y APT41. Este RAT utiliza la técnica de carga lateral de DLL para cargar su propia carga maliciosa cuando se ejecuta una aplicación de software firmada digitalmente, como la herramienta de depuración x32dbg (x32dbg.exe).

Los atacantes lograron persistencia modificando entradas del registro y creando tareas programadas para mantener el acceso incluso cuando el sistema se reinicia.

Los investigadores analizaron la criptografía de las comunicaciones de PlugX y descubrieron que podían enviar comandos de desinfección a las estaciones de trabajo comprometidas. Describieron dos enfoques: uno que limpia solo la estación de trabajo y otro que desinfecta las unidades USB. Aunque el gusano no puede ser erradicado por completo, ofrecen a los países afectados un “proceso de desinfección soberano” para mitigar la infección.

En el momento de la publicación del informe, el gusano había sido observado en más de 170 países a nivel mundial con más de 2.495.000 infecciones únicas. Alrededor de 15 países representan más del 80% de las infecciones totales.

Debido a los posibles desafíos legales asociados con la realización de una campaña de desinfección a gran escala, la decisión de lanzar una desinfección masiva se deja en manos de los Equipos de Respuesta a Emergencias Informáticas nacionales (CERTs), las agencias de aplicación de la ley (LEAs) y las autoridades de ciberseguridad. La denominada “desinfección soberana” implica que estos organismos nacionales reciban datos del servidor de Sekoia sobre las infecciones dentro de sus jurisdicciones. Luego pueden decidir si iniciar una desinfección, basándose en su evaluación de la situación. Este proceso permite una respuesta adaptada, considerando las conexiones a internet transfronterizas y otras complejidades.

“Como se mencionó anteriormente, existen limitaciones en los dos métodos discutidos de desinfección remota. En primer lugar, el gusano tiene la capacidad de existir en redes aisladas, lo que hace que estas infecciones estén fuera de nuestro alcance. En segundo lugar, y quizás más importante, el gusano PlugX puede residir en dispositivos USB infectados durante un período prolongado sin estar conectado a una estación de trabajo”, concluye el informe. “Por lo tanto, es imposible eliminar por completo este gusano emitiendo un comando único a todas las estaciones de trabajo infectadas. En consecuencia, también recomendamos encarecidamente que los editores de seguridad creen reglas de detección efectivas contra esta amenaza en las estaciones de trabajo para prevenir el reutilización de esta botnet en el futuro.”

Fuente :

Cripto Casino - Stake
Conoce Stake Cripto Casino

Un operativo internacional que movilizó a más de una decena de países, en su mayoría europeos, llevó al desmantelamiento de FluBot, uno de los programas maliciosos que más rápido se propagan hasta la fecha en los móviles de Android y que infecta el teléfono a través de SMS falsos para robar contraseñas y datos personales.

  • Se han desconectado a diez mil víctimas de la red FluBot y evitado el envió de más de 6 500 000 mensajes de texto no deseados.

FluBot fue descubierto por primera vez en diciembre de 2020, ganando fuerza en 2021, y que se ha estado propagando de forma agresiva a través de SMS, robando contraseñas, datos bancarios en línea, y otra información confidencial de los teléfonos inteligentes (smartphones) infectados con el programa.

Las víctimas que usaban teléfonos con un sistema operativo Android de Google recibían un SMS que pedía a los usuarios pinchar en un enlace e instalar una aplicación para monitorear la entrega de un paquete o escuchar falsos mensajes de voz, explicó un portavoz de la AFP a Europol.

El malware se instalaba a través de mensajes SMS falsos. Estos pedían a los usuarios instalar una aplicación o escuchar un mensaje de voz falso. Una vez instalada la app, que en realidad era Flubot, se solicitaban permisos de accesibilidad. En caso de obtenerlos, los ciberdelincuentes podían acceder a todo tipo de información ya que es como si estuvieran viendo la pantalla del móvil a distancia y recibiendo todas las pulsaciones que hiciéramos. 

FluBot en España

En España este malware tuvo su apogeo de infecciones durante el mes de marzo de 2021. Una estafa con la que se estimó que había capturado más de 11 millones de números de teléfono, solo en España. Esto es, un 25% de la población española

Los investigadores de PRODAFT dijeron anteriormente que el acceso a los contactos de un usuario permitió al grupo recopilar más de 11 millones de números de teléfono en España, lo que representa alrededor del 25% de la población. Si no se tomaba ninguna medida, teorizaron que el grupo detrás de FluBot podría recopilar todos los números de teléfono en España en 6 meses.

Este malware comprometió “una gran cantidad de dispositivos” en todo el mundo, incluidos incidentes significativos en España y Finlandia, debido, entre otras cosas, a su capacidad para acceder a los contactos de un teléfono inteligente infectado, según Europol.

La infraestructura ha sido desmantelada a principios de mayo por la policía neerlandesa, lo que dejó inactivado este programa que se instala a través de un mensaje de texto que pedía a los usuarios que hicieran clic en un enlace e instalaran una aplicación para rastrear la entrega de un paquete o escuchar un mensaje de voz falso.

Una vez instalada la aplicación en cuestión, solicitaría permisos de accesibilidad y los piratas informáticos usarían este acceso para robar credenciales de aplicaciones bancarias o detalles de cuentas de criptomonedas y deshabilitar los mecanismos de seguridad integrados.

Entre los consejos de Europol para detectar si una aplicación puede tratarse de un programa malicioso, incluye tocar una aplicación para asegurarse de que se abre como tal, o intentar desinstalarla para asegurarse de que no aparece un “mensaje de error”.

“Si cree que una aplicación puede ser un programa malicioso, restablezca el teléfono a la configuración de fábrica”, indican.

Los países implicados en la investigación fueron Australia, Bélgica, Finlandia, Hungría, Irlanda, Rumanía, España, Suecia, Suiza y los Países Bajos, así como el servicio secreto de Estados Unidos, coordinados por el Centro de Ciberdelincuencia de Europol.

La investigación continúa, ya que está pendiente de analizar quienes estaban detrás y quién se ha beneficiado de una campaña de malware a nivel global, aunque varios miembros de la banda de Flubot fueron arrestados en Barcelona el pasado marzo. 

Fuente (s) :

Escucha la noticia dando click en el audio 🙂


A nadie le gusta los siguientes escenarios, pero lamentablemente, a cualquiera podría sucederle en cualquier momento. Imagínate que estás trabajando en un proyecto importante y de repente empiezas a ver molestas ventanas emergentes en tu computadora. ¿Ó que tal cuando nos da uno de esos “ataques de desesperación” por archivos o aplicaciones que tardan demasiado en cargarse? Sigues esperando hasta que empiezas a preguntarte: “¿Mi computadora está infectada con malware?”

Desafortunadamente, la respuesta podría ser “sí” y su PC ya podría estar infectada con un virus o malware de próxima generación que está alentando o perjudicando su rendimiento.

Esta es una de las muchas señales de advertencia que muestran que su PC podría sufrir una infección de malware. Pero hay mucho más que debe conocer y comprender, para que pueda tomar medidas rápidamente.

En este artículo, le mostraremos las señales de advertencia más frecuentes de infección de malware en computadoras que ejecutan Microsoft Windows y qué puede hacer al respecto.

Primero recomiendo conocer por lo menos las bases de malware, virus etc. Si sabemos como funciona, podemos también aprender a evitarlos o desinfectarlos.

Tipos de virus informáticos


Según la empresa de seguridad cibernética Kaspersky, las cosas que no desea en su computadora incluyen virus y todo tipo de malware y spyware. Estas son algunas amenazas comunes:

  • Virus diseñados para atacar su sistema: Se propagan de máquina a máquina a través de enlaces compartidos y archivos cargados y descargados. Las personas difunden estos programas cuando vinculan y comparten sin cuidado y no utilizan la protección antivirus adecuada.
  • Gusanos (Worms) : Son similares a los virus. Estos programas no necesitan la ayuda de la gente para difundirse. Están programados para moverse a través de redes informáticas por su cuenta. En si están hechos para propagarse para crear daño a archivos o saturar por completo un disco duro, almacenamiento etc.
  • Troyanos / Trojans: En resumen, este es un malware que se oculta detrás de otro programa, imagina que descargas un programa para escuchar música pero este está infectado con un troyano, es decir tiene un virus oculto que al ejecutar el programa descargado ( en este caso de ejemplo un programa para escuchar música ) este troyano será ejecutado también. El troyano genera una clase de backdoor o puerta trasera que permite al hacker o atacante obtener acceso al dispositivo puede borrar información, copiarla, o descargarle nueva. Puede tomar screenshots, activar keyloggers etc. Sus funciones varían bastantes. A diferencia de los virus y los gusanos informáticos, los troyanos no pueden multiplicarse.
  • Adware, spyware: Estos programas están diseñados para rastrear lo que hace en línea, recopilar datos privados, a veces bancarios y toda información personal sobre usted o de su equipo, dispositivo etc.
  • Ransomware: Este tipo de malware esta diseñado para encriptar 1 solo archivo privado o de mucha importancia, hasta todos los archivos o un dispositivo por completo. El objetivo de este malware este mantener como rehen tu equipo hasta que pagues cierta cantidad de criptomonedas para obtener una llave de desencriptación y volver tener acceso a los archivos, dispositivo(s) etc.

1. PopUps involuntarios – Ventanas emergentes inesperadas


Los cuadros de diálogo y ventanas inesperados o inusuales pueden ser una mala señal. Las advertencias de virus falsas dicen que tiene amenazas de seguridad en su computadora y, por lo general, le piden que haga clic en un enlace o que llame a un número.

El software de protección legítimo, como Windows Defender y varios programas de detección de virus, nunca le pedirá que llame a un número de atención al cliente aleatorio.

2. Sonidos aleatorios


Las computadoras infectadas a menudo están programadas para responder con una señal de audio a cosas que no puedes controlar.

Pueden ser como ” pitidos de advertencia” .

Si escucha regularmente campanillas y campanas de su computadora que parecen ser fantasmas, su computadora puede tener un virus o malware.

3. Cambios inexplicables de archivos o carpetas

Cambios repentinos en nombres carpetas o archivos

4. Operación lenta


Es posible que falten sus archivos o que los íconos y el contenido de sus archivos sean diferentes. Su computadora no hará este tipo de cambios en sus archivos a menos que tenga un virus o un problema técnico.


Preste atención a si su computadora está funcionando más lentamente de lo normal.

Hay mlwares que pondran cosas en tu computadora para luego influir, persistir o casi forzar a que descargues o incluso compres cierto software que promete mejor rendimiento o limpiarte tu pc de virus pero ha sido el malware que ha influido en todo esto.

5. Conexiones aleatorias a sitios web desconocidos

En general, su computadora no hace sus propias conexiones; alguien tiene que iniciarlos. Si no inició estas conexiones, el software problemático podría estar haciéndolo por usted. Para detectar esto necesita uno saber un poco mas sobre redes y comandos como netstat o saber leer wireshark. Uno si sabe de esto puede descubrir o dar con puertos, conexiones abiertas de malware (s).

6. Imágenes inesperadas


Es posible que vea aparecer imágenes pornográficas o reemplazar imágenes benignas, como fotos en sitios de noticias. Una señal relacionada de que su computadora está infectada es la aparición constante de anuncios emergentes de sitios que normalmente no visita.


Otro signo de infección es cuando su software antivirus legítimo le advierte que una aplicación está intentando conectarse a un sitio web del que nunca ha oído hablar.

7. Incapacidad para descargar programas antivirus o actualizaciones


Los virus informáticos no son seres vivos, pero algunos están programados para tener un instinto de conservación. Para el usuario promedio de computadoras, la forma número 1 de matar un virus es a través de un escaneo con un software antivirus. Si tiene problemas para descargar e instalar el software, o si no puede actualizar su programa actual, es posible que se deba al diseño del virus. Aunque esto puede ser una molestia, algunas soluciones de software antivirus pueden crear discos de rescate para escanear y limpiar una PC infectada.

8. Spam enviado desde su dirección de correo electrónico o redes sociales


El malware puede funcionar de muchas maneras diferentes. Un método que se ha vuelto más común con la proliferación de mensajes de correo electrónico y redes sociales es una marca de malware que envía mensajes aleatorios a su lista de contactos. Este tipo de infección se propaga por Internet engañando a las personas para que hagan clic en un enlace infectado. Luego, el enlace propaga el malware a esa persona, quien, sin darse cuenta, lo propaga a través de su lista de amigos. Al cerrar sesión en sus cuentas, crear nuevas contraseñas seguras e implementar medidas de seguridad como la autenticación de dos factores, puede frustrar cualquier intrusión adicional.

9. Falta repentina de espacio en el disco duro


¿Te has quedado sin espacio en tu disco duro de repente? Los virus o gusanos autorreplicantes, a menudo llamados “bombas de disco”, pueden causar todo tipo de estragos en un sistema informático llenando rápidamente los discos duros con copias de sí mismos. En muchos casos, los archivos que inyecta en un disco duro son invisibles en la configuración predeterminada de exploración de archivos.

10. Procesos en ejecución extraños


Si eres un poco más experto en tecnología que el usuario promedio, es probable que conozcas el Administrador de tareas de Windows. De vez en cuando, si su computadora está actuando de manera extraña o no funciona tan bien como esperaba, es posible que le convenga verificar el Administrador de tareas de Windows en busca de procesos no autorizados que se estén ejecutando en segundo plano. Si el nombre de un proceso se parece mucho a un proceso legítimo de Windows pero no cuadra, es posible que esté infectado.

10 sencillos pasos para limpiar su computadora con virus

1. Primero, lo mas recomendable es usar protección: ingrese al modo seguro.

Retire los CD y DVD y desconecte las unidades USB de su computadora. * (lo ideal solo mouse, teclado,monitor) Luego apaga.
Cuando reinicie, presione la tecla F8 repetidamente. Esto debería mostrar el menú Opciones de arranque avanzadas.
Seleccione Modo seguro con funciones de red y presione Entrar. En este modo, solo se utilizan los programas y servicios mínimos. Si algún malware está programado para cargarse automáticamente cuando se inicia Windows, ingresar al modo seguro puede bloquear el intento.

2. Haga una copia de seguridad de sus archivos.

Esto incluye documentos, fotos y videos. Especialmente videos de gatos.
No haga una copia de seguridad de los archivos del programa, ya que es ahí donde se esconden las infecciones. Siempre puede descargar estos programas nuevamente si se pierden los archivos.

3. Descargue un escáner de malware bajo demanda como Malwarebytes.

Si no tuvo problemas para conectarse a Internet antes de sospechar la infección, puede salir del modo seguro después de haber realizado una copia de seguridad de sus archivos y volver a usar su sistema “normal”.


Si su Internet se atascó debido a una sospecha de infección, intente usar la computadora de un amigo para descargar su escáner y moverlo a su máquina usando una unidad USB.
Siga las instrucciones de configuración e instale el programa.

4. Ejecute el escaneo.

Si realmente cree que está infectado, no pase, no cobre $ 100. Simplemente vaya directamente al escaneo. Si tienes una infección, tu escáner bajo demanda debería hacerte saber que estás en peligro, niña. Una lista de resultados de análisis le indica qué malware se encontró y eliminó.
Algunos programas de ciberseguridad también marcan los programas potencialmente no deseados (PUP) y los colocan en la esquina con Baby. Si desea mantener un programa que su escáner de malware considera sospechoso, puede agregarlo a una lista de exclusiones y continuar con su día.

5. Reinicie su computadora.

Después de todo, todos merecen una segunda oportunidad.

6. Confirme los resultados de su análisis antimalware ejecutando un análisis completo con otro programa de detección de malware.

Puede probar un programa como AdwCleaner, que apunta a PUP y adware (esas ventanas emergentes desagradables que ensucian su navegador).
Reinicie nuevamente si el programa encontró infecciones adicionales.

7. Actualice su sistema operativo, navegador y aplicaciones.

Si hay una actualización disponible en cualquiera de sus programas, continúe y hágalo. Algunas de las formas más peligrosas de malware se entregan mediante exploits que aprovechan el software desactualizado.

8. Restablezca todas sus contraseñas.

Antes de ser eliminado, el malware podría haber capturado sus contraseñas y reenviarlas a los delincuentes. Cambia todas y cada una de las contraseñas que se te ocurran y asegúrate de que sean seguras. Nada de esto de 1, 2, 3, 4, 5 negocios. Esa es la combinación que un idiota usaría en su equipaje.

9. Si, después de todos estos pasos, todavía tiene problemas con una posible infección, no dude en publicar su pregunta en nuestro foro público.

10. Verificar y Revisar smartphones y tablet: a veces un hackeo o virus de esos dispositivos podría filtrar contraseñas o información sensible o importante. Y si desea que su teléfono Mac, iPhone o Android esté tan brillante y nuevo como su PC después de una limpieza, también puede ejecutar análisis antimalware en estos dispositivos.

Fuente (s) :

Herramientas Extras :

En 2021, la cantidad de infecciones de malware dirigidas a dispositivos que ejecutan Linux aumentó en un 35 %. En la mayoría de los casos, los ciberdelincuentes piratearon dispositivos IoT para llevar a cabo ataques DDoS.

Según Crowdstrike, XorDDoS, Mirai y Mozi fueron las familias de malware más comunes. Representaron el 22% de todos los ataques de malware dirigidos a sistemas que ejecutan Linux en 2021.

Mozi, en particular, ha mostrado un crecimiento explosivo en su actividad. Durante el año pasado, se identificaron diez veces más muestras que en 2020.

La actividad del malware XorDDoS también aumentó notablemente en comparación con el año pasado, en un 123 %. XorDDoS es un troyano genérico de Linux que funciona en varias arquitecturas de sistemas Linux. Utiliza encriptación XOR para comunicarse con el C&C. Al atacar dispositivos IoT, XorDDoS enumera los dispositivos vulnerables a través del protocolo de red SSH. En máquinas Linux, el malware usa el puerto 2375 para obtener acceso de root al sistema sin contraseña.

Mozi es una red de bots P2P que utiliza un sistema de búsqueda de tablas hash distribuidas (DHT) para ocultar los mensajes C&C sospechosos de las soluciones de seguridad para monitorear el tráfico de la red. Los operadores de botnets explotan constantemente nuevas vulnerabilidades, ampliando el alcance de su aplicación.

Mirai es un malware muy conocido que ha generado muchas variantes nuevas debido a su código fuente disponible públicamente. Las diferentes variantes del malware implementan diferentes protocolos para comunicarse con el servidor de comando y control, pero todos usan credenciales que no son de confianza para los ataques de fuerza bruta. En 2021, los expertos identificaron varias variantes notables de Mirai, como Dark Mirai, que apunta a enrutadores domésticos, y Moobot, que se usa para atacar cámaras de seguridad.

“Algunas de las opciones más comunes incluyen Sora, IZIH9 y Rekai. En comparación con 2020, la cantidad de muestras identificadas para las tres variantes aumentó en un 33 %, 39 % y 83 % respectivamente en 2021”, dijeron los investigadores en el informe.


Fuente (s) :

Google dice que los creadores de YouTube han sido blanco de malware que roba contraseñas en ataques de phishing coordinados por actores de amenazas motivados financieramente. Los investigadores del Grupo de Análisis de Amenazas (TAG) de Google, que vieron la campaña por primera vez a fines de 2019, descubrieron que varios actores de piratería contratados reclutados a través de anuncios de trabajo en foros de habla rusa estaban detrás de estos ataques. Los actores de amenazas utilizaron ingeniería social (a través de páginas de destino de software falsas y cuentas de redes sociales) y correos electrónicos de phishing para infectar a los creadores de YouTube con malware que roba información, elegido según las preferencias de cada atacante.

Search and buy domains from Namecheap. Lowest prices!

Canales secuestrados en ataques de paso de cookies

El malware observado en los ataques incluye cepas de productos básicos como RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad y Kantal, y de código abierto como  Sorano  y  AdamantiumThief .

Una vez entregado en los sistemas de los objetivos, el malware se utilizó para robar sus credenciales y cookies del navegador, lo que permitió a los atacantes secuestrar las cuentas de las víctimas en ataques de paso de cookies.

«Si bien la técnica ha existido durante  décadas , su resurgimiento como un riesgo de seguridad superior podría deberse a una adopción más amplia de la autenticación multifactor (MFA), lo que dificulta la realización de abusos y el cambio de enfoque del atacante a tácticas de ingeniería social», dijo. Ashley Shen, ingeniera de seguridad de TAG.

«La mayor parte del malware observado fue capaz de robar tanto las contraseñas de los usuarios como las cookies. Algunas de las muestras emplearon varias técnicas anti-sandboxing, incluidos archivos ampliados, archivos cifrados y encubrimiento de IP de descarga».

Google identificó al menos 1.011 dominios vinculados a estos ataques y aproximadamente 15.000 cuentas de actores creadas específicamente para esta campaña y utilizadas para enviar correos electrónicos de phishing que contienen enlaces que redireccionan a páginas de destino de malware a los correos electrónicos comerciales de los creadores de YouTube.

Vendido por hasta $ 4,000 en mercados clandestinos

Una cantidad significativa de canales de YouTube secuestrados en estos ataques fueron posteriormente renombrados para hacerse pasar por ejecutivos tecnológicos de alto perfil o firmas de intercambio de criptomonedas y se utilizaron para estafas de criptomonedas de transmisión en vivo.

Otros se vendieron en mercados clandestinos de negociación de cuentas, donde valen entre $ 3 y $ 4,000, dependiendo de su número total de suscriptores.

Shen agregó que el Grupo de Análisis de Amenazas de Google redujo los correos electrónicos de phishing vinculados a estos ataques en Gmail en un 99,6% desde mayo de 2021.

«Bloqueamos 1,6 millones de mensajes dirigidos a objetivos, mostramos ~ 62.000 advertencias de páginas de phishing de Navegación segura, bloqueamos 2,400 archivos y restauramos con éxito ~ cuentas de 4K», dijo Shen. .

«Con mayores esfuerzos de detección, hemos observado que los atacantes se desplazan de Gmail a otros proveedores de correo electrónico (principalmente email.cz, seznam.cz, post.cz y aol.com)».

Google también informó de esta actividad maliciosa al FBI para que se investigue más a fin de proteger a los usuarios y creadores de YouTube a los que se dirige la campaña.

Fuente (s) :

Investigadores de ESET descubren FontOnLake, una familia de malware que utiliza herramientas personalizadas y bien diseñadas para atacar sistemas operativos que funcionan bajo Linux. La naturaleza  de las herramientas de FontOnLake en combinación con su diseño avanzado y baja prevalencia sugieren que ha sido diseñado para ataques dirigidos

Los investigadores de ESET han descubierto una familia de malware previamente desconocida que utiliza módulos personalizados y bien diseñados para atacar a sistemas que corren Linux. Los módulos utilizados por esta familia de malware, a la cual hemos denominado FontOnLake, están en constante desarrollo y brindan a los operadores acceso remoto, permite recopilar credenciales y sirven como un servidor proxy. En esta publicación, quedan resumidos los hallazgos que explican con más detalle en el whitepaper.

Para recopilar datos (por ejemplo, credenciales ssh) o realizar otra actividad maliciosa, esta familia de malware utiliza binarios legítimos modificados que son ajustados para cargar más componentes. De hecho, para ocultar su existencia, la presencia de FontOnLake siempre va acompañada de un rootkit. Estos binarios como cat, kill o sshd se utilizan comúnmente en sistemas Linux y, además, pueden servir como mecanismo de persistencia.

La naturaleza camaleónica de las herramientas de FontOnLake en combinación con un diseño avanzado y una baja prevalencia sugiere que son utilizadas en ataques dirigidos.

El primer archivo conocido de esta familia de malware apareció en VirusTotal en mayo pasado y se cargaron otras muestras a lo largo del año. La ubicación del servidor C&C y los países desde los que se cargaron las muestras en VirusTotal podrían indicar que sus objetivos incluyen el sudeste asiático.

Se cree que los operadores de FontOnLake son particularmente cautelosos, ya que casi todas las muestras analizadas utilizan servidores C&C únicos con diferentes puertos no estándar. Los autores utilizan principalmente C/C ++ y varias bibliotecas de terceros, como BoostPoco, o Protobuf. Ninguno de los servidores de C&C utilizados en las muestras cargadas a VirusTotal estaban activos al momento de escribir este artículo, lo que indica que podrían haberse desactivado debido a la carga.

Componentes conocidos de FontOnLake

Los componentes actualmente conocidos de FontOnLake se pueden dividir en tres grupos que interactúan entre sí:

  • Aplicaciones troyanizadas: binarios legítimos modificados que son utilizados para cargar más componentes, recopilar datos o realizar otras actividades maliciosas.
  • Backdoors: componentes en modo usuario que funcionan como el punto de comunicación principal para sus operadores.
  • Rootkits: componentes en modo kernel que en su mayoría ocultan y disfrazan su presencia, ayudan con las actualizaciones o proporcionan backdoors de respaldo.

Aplicaciones troyanizadas

Descubren múltiples aplicaciones troyanizadas; se utilizan principalmente para cargar módulos personalizados de backdoor o rootkit. Aparte de eso, también pueden recopilar datos confidenciales. Lo más probable es que los parches de las aplicaciones se apliquen a nivel de código fuente, lo que indica que las aplicaciones deben haber sido compiladas y reemplazadas por las originales.

Todos los archivos troyanizados son utilidades estándar de Linux y cada uno sirve como método de persistencia porque normalmente se ejecutan al iniciar el sistema. Se desconoce la forma en que inicialmente estas aplicaciones troyanizadas llegan a sus víctimas.

La comunicación de una aplicación troyanizada con su rootkit se ejecuta a través de un archivo virtual, el cual es creado y administrado por el rootkit. Como se muestra en la Imagen 1, los datos pueden leerse/escribirse desde/hacia el archivo virtual y exportarse con su componente de backdoor según solicite el operador.

Search and buy domains from Namecheap. Lowest prices!

Backdoors

Los tres backdoors diferentes que descubrimos están escritos en C++ y todos usan, aunque de forma ligeramente diferente, la misma biblioteca Asio de Boost para redes asíncronas y entradas/salidas de bajo nivel. También utilizan PocoProtobuf y funciones de STL como punteros inteligentes. Lo que es raro en el malware es el hecho de que estos backdoors también presentan una serie de patrones de diseño de software.

La funcionalidad que todos tienen en común es que cada uno exfiltra las credenciales recopiladas y su historial de comandos bash a su C&C.

Teniendo en cuenta la superposición de funciones, lo más probable es que estos diferentes backdoors no se utilicen juntos en un sistema comprometido.

Además, todos los backdoors utilizan comandos de heartbeat personalizados que son enviados y recibidos periódicamente para mantener activa la conexión.

La funcionalidad principal de estos backdoors consta de los siguientes métodos:

  • Exfiltrar los datos recopilados
  • Crear un puente entre un servidor ssh personalizado que se ejecuta localmente y su C&C
  • Manipular archivos (por ejemplo, cargar/descargar, crear/eliminar, listar directorios, modificar atributos, etc.)
  • Actuar como proxy
  • Ejecutar comandos de shell arbitrarios y scripts de Python

Rootkit

Descubrimos dos versiones diferentes del rootkit, utilizadas de a una a la vez, en cada uno de los backdoors. Existen diferencias significativas entre esos dos rootkits, sin embargo, ciertos aspectos de ellos se superponen. Aunque las versiones de rootkit se basan en el proyecto de código abierto suterusu, contienen varias de sus técnicas exclusivas y personalizadas.

La funcionalidad combinada de estas dos versiones del rootkit que descubrimos incluye:

  • Proceso de ocultación
  • Ocultación de archivos
  • Ocultación de sí mismo
  • Ocultación de conexiones de red
  • Exposición de las credenciales recopiladas a su backdoor
  • Reenvío de puertos
  • Recepción de paquetes mágicos (los paquetes mágicos son paquetes especialmente diseñados que pueden indicar al rootkit que descargue y ejecute otro backdoor)

Tras nuestro descubrimiento y mientras finalizamo el whitepaper sobre este tema, proveedores como Tencent Security Response CenterAvast y Lacework Labs publicaron su investigación sobre lo que parece ser el mismo malware.

Todos los componentes conocidos de FontOnLake son detectados por los productos ESET como Linux/FontOnLake. Las empresas o personas que deseen proteger sus terminales o servidores de Linux de esta amenaza deben utilizar un producto de seguridad de varias capas y una versión actualizada de su distribución de Linux. Algunas de las muestras que hemos analizado fueron creadas específicamente para CentOS y Debian.

Fuente (s) :

GriftHorse ha afectado hasta a 10 millones de usuarios en todo el mundo. Las víctimas del troyano están distribuidas en decenas de países, entre ellas España. Tras desaparecer de Google Play, sigue presente en muchos móviles en más de 70 países Las apps con GriftHorse están diseñadas para suscribir a los usuarios de Android a servicios premium sin su consentimiento.

  •  GriftHorse’ es un malware que está de incógnito en aplicaciones como traductores, brújulas, videojuegos e incluso apps de citas

 Expertos de la empresa de seguridad Zimperium zLabs descubrieron que un programa malicioso que contienen algunas aplicaciones de Google Play ha infectado a más de 10 millones de teléfonos inteligentes Android en más de 70 países.

Según la investigación, publicada, las apps infectadas por el troyano GriftHorse suscriben a los usuarios a servicios de pago sin que estos se den cuenta. Si el usuario instala una aplicación infectada, GriftHorse comienza a inundar el teléfono con notificaciones de premios. Cuando la persona hace clic en una de estas ventanas emergentes, es dirigido a una página en la que se le pide que confirme su número de teléfono para acceder al premio, pero al hacerlo, en realidad activa un servicio de SMS ‘premium’ con costo mensual.

La campaña es excepcionalmente versátil y se dirige a usuarios de dispositivos móviles de más de 70 países al cambiar el idioma de la aplicación y mostrar el contenido de acuerdo con la dirección IP del usuario actual. Según la información recopilada, GriftHorse ha infectado más de 10 millones de dispositivos de las víctimas en los últimos meses

Search and buy domains from Namecheap. Lowest prices!

“Después de ser infectada, la víctima es bombardeada con alertas en la pantalla informándoles que han ganado un premio y necesitan reclamarlo inmediatamente”, explica el reporte. Estas alertas aparecen no menos de cinco veces por hora hasta que el usuario acepte.

30€ al mes por usuario infectado

El grupo de ciberdelincuentes detrás de la campaña GriftHorse ha construido un flujo de efectivo estable de fondos ilícitos de estas víctimas, generando millones en ingresos recurrentes cada mes con la cantidad total robada potencialmente de cientos de millones. A cada una de las víctimas se le cobra más de 30 € al mes, lo que genera pérdidas financieras recurrentes hasta que logran solucionar el problema contactando con su operador SIM. 

La campaña se ha desarrollado activamente durante varios meses, a partir de noviembre de 2020, y la última hora actualizada se remonta a abril de 2021. Esto significa que una de sus primeras víctimas, si no ha cerrado la estafa, ha perdido más de 200 €. en el momento de escribir. La pérdida acumulada de víctimas se suma a una ganancia masiva para el grupo ciberdelincuente.

200 aplicaciones disponibles en la Play Store

Los responsables del ataque utilizaron más de 200 aplicaciones maliciosas de distinto tipo e iniciaron su campaña en noviembre de 2020, mientras que su última actualización data de abril de 2021. Tras reportar el descubrimiento a Google, el gigante informático eliminó las apps del catálogo de Google Play Store. 

¿Tienes alguna de estas apps? Bórrela de inmediato

Esta es la lista de apps que esconden GriftHorse.

Listado de Aplicaciones

Package NameApp Name
com.tra.nslat.orpro.htpHandy Translator Pro
com.heartratteandpulsetrackerHeart Rate and Pulse Tracker
com.geospot.location.gltGeospot: GPS Location Tracker
com.icare.fin.lociCare – Find Location
my.chat.translatorMy Chat Translator
com.bus.metrolis.sBus – Metrolis 2021
com.free.translator.photo.amFree Translator Photo
com.locker.tul.ltLocker Tool
com.fin.gerp.rint.fcFingerprint Changer
com.coll.rec.ord.erCall Recoder Pro
instant.speech.translationInstant Speech Translation
racers.car.driverRacers Car Driver
slime.simu.latorSlime Simulator
keyboard.the.mesKeyboard Themes
whats.me.stickerWhat’s Me Sticker
amazing.video.editorAmazing Video Editor
sa.fe.lockSafe Lock
heart.rhy.thmHeart Rhythm
com.sma.spot.loca.torSmart Spot Locator
cut.cut.proCutCut Pro
com.offroaders.surviveOFFRoaders – Survive
com.phon.fin.by.cl.apPhone Finder by Clapping
com.drive.bus.bdsBus Driving Simulator
com.finger.print.defFingerprint Defender
com.lifeel.scanandtestLifeel – scan and test
com.la.so.uncher.ioLauncher iOS 15
com.gunt.ycoon.dleIdle Gun Tycoo\u202an\u202c
com.scan.asdnScanner App Scan Docs & Notes
com.chat.trans.almChat Translator All Messengers
com.hunt.contact.roHunt Contact
com.lco.nylcoIcony
horoscope.fortune.comHoroscope : Fortune
fit.ness.pointFitness Point
com.qub.laQibla AR Pro
com.heartrateandmealtrackerHeart Rate and Meal Tracker
com.mneasytrn.slatorMine Easy Translator
com.phone.control.blockspamxPhoneControl Block Spam Calls
com.paral.lax.paper.threParallax paper 3D
com.photo.translator.sptSnapLens – Photo Translator
com.qibl.apas.dirQibla Pass Direction
com.caollerrrexCaller-x
com.cl.apClap
com.eff.phot.oproPhoto Effect Pro
com.icon.nec.ted.trac.keriConnected Tracker
com.smal.lcallrecorderSmart Call Recorder
com.hor.oscope.palDaily Horoscope & Life Palmestry
com.qiblacompasslocatoriqezQibla Compass (Kaaba Locator)
com.proo.kie.phot.edtrProokie-Cartoon Photo Editor
com.qibla.ultimate.quQibla Ultimate
com.truck.roud.offroad.zTruck – RoudDrive Offroad
com.gpsphonuetrackerfamilylocatorGPS Phone Tracker – Family Locator
com.call.recorder.criCall Recorder iCall
com.pikcho.editorPikCho Editor app
com.streetprocarsracingssStreet Cars: pro Racing
com.cinema.hallCinema Hall: Free HD Movies
com.ivlewepapallr.bkragonucdLive Wallpaper & Background
com.in1.tel.ligent.trans.lt.proIntelligent Translator Pro
com.aceana.lyzzerFace Analyzer
com.tueclert.ruercder*TrueCaller & TrueRecoder
*This fake app is not to be confused by the legitimate Truecaller, by True Software Scandinavia AB
com.trans.lator.txt.voice.phtiTranslator_ Text & Voice & Photo
com.puls.rat.monikPulse App – Heart Rate Monitor
com.vidphoremangerVideo & Photo Recovery Manager 2
online.expresscredit.comБыстрые кредиты 24\7
fit.ness.trainerFitness Trainer
com.clip.buddyClipBuddy
vec.tor.artVector arts
ludo.speak.v2Ludo Speak v2.0
battery.live.wallpaperhdBattery Live Wallpaper 4K
com.heartrateproxhealthmonitorHeart Rate Pro Health Monitor
com.locatorqiafindlocationLocatoria – Find Location
com.gtconacerGetContacter
ph.oto.labPhoto Lab
com.phonebosterAR Phone Booster – Battery Saver
com.translator.arabic.enEnglish Arabic Translator direct
com.vpn.fast.proxy.fepVPN Zone – Fast & Easy Proxy
com.projector.mobile.phone100% Projector for Mobile Phone
com.forza.mobile.ult.edForza H Mobile 4 Ultimate Edition
com.sticky.slime.sim.asmr.nwsAmazing Sticky Slime Simulator ASMR\u200f
com.clap.t.findz.m.phoneClap To Find My Phone
com.mirror.scree.n.cast.tvvScreen Mirroring TV Cast
com.frcallworwidFree Calls WorldWide
locator.plus.myMy Locator Plus
com.isalamqciqciSalam Qibla Compass
com.lang.tra.nslate.ltefLanguage Translator-Easy&Fast
com.wifi.unlock.pas.pro.xWiFi Unlock Password Pro X
com.chat.live.stream.pvcPony Video Chat-Live Stream
com.zodiac.handZodiac : Hand
com.lud.gam.eclLudo Game Classic
com.locx.findx.locxLoca – Find Location
com.easy.tv.show.etsEasy TV Show
com.qiblaquranQibla correct Quran Coran Koran
com.dat.ing.app.sw.mtDating App – Sweet Meet
com.circ.leloca.fi.nderR Circle – Location Finder
com.taggsskconattcTagsContact
com.ela.salaty.musl.qiblaEla-Salaty: Muslim Prayer Times & Qibla Direction
com.qiblacompassrtviQibla Compass
com.soul.scanner.check.yhSoul Scanner – Check Your
com.chat.video.live.ciaoCIAO – Live Video Chat
com.plant.camera.identifier.pciPlant Camera Identifier
com.call.colop.chan.ccColor Call Changer
com.squishy.pop.itSquishy and Pop it
com.keyboard.virt.projector.appKeyboard: Virtual Projector App
com.scanr.gdp.docScanner Pro App: PDF Document
com.qrrea.derproQR Reader Pro
com.f.x.key.bo.ardFX Keyboard
photoeditor.frame.comYou Frame
call.record.provCall Record Pro
com.isl.srick.ersFree Islamic Stickers 2021
com.qr.code.reader.scanQR Code Reader – Barcode Scanner
com.scan.n.rayBag X-Ray 100% Scanner
com.phone.caller.scrennPhone Caller Screen 2021
com.trnsteito.nneappTranslate It – Online App
com.mobthinfindMobile Things Finder
com.piriufffcaerProof-Caller
com.hones.earcy.laofPhone Search by Clap
com.secontranslaproSecond Translate PRO
cal.ler.idsCallerID
com.camera.d.plan3D Camera To Plan
com.qib.find.qib.diQibla Finder – Qibla Direction
com.stick.maker.wapsStickers Maker for WhatsApp
com.qbbl.ldironwachQibla direction watch (compass)
com.bo.ea.lesss.pianoPiano Bot Easy Lessons
com.seond.honen.umberCallHelp: Second Phone Number
com.faspulhearratmonFastPulse – Heart Rate Monitor
com.alleid.pam.lofhysCaller ID & Spam Blocker
com.free.coupon2021Free Coupons 2021
com.kfc.saudi.delivery.couponsKFC Saudi – Get free delivery and 50% off coupons
com.skycoach.ggSkycoach
com.live.chat.meet.hooHOO Live – Meet and Chat
easy.bass.boosterEasy Bass Booster
com.coupongiftsnstashopCoupons & Gifts: InstaShop
com.finnccontatFindContact
com.aunch.erios.drogLauncher iOS for Android
com.blo.cced.als.pam.rzdCall Blocker-Spam Call Blocker
com.blo.cced.als.pam.rzdCall Blocker-Spam Call Blocker
com.ivemobiberckerLive Mobile Number Tracker

Fuente (s) :