Malware que estudia los clicks de ratón para no ser detectado


La situación se vuelve cada vez más complicada para las empresas de seguridad. La empresa FireEye asegura haber detectado un nuevo ATP, o amenaza persistente avanzada, que utiliza múltiples técnicas para evitar ser detectado, incluida la monitorización de los clicks de ratón.





El malware detectado se llama Trojan.APT.BaneChant, y se está distribuyendo a través de un documento de Word que, según Chong Rong Hwa, investigador de FireEye tiene como objetivo los gobiernos de Oriente Medio y Asia Central.

Los ataques se producen en múltiples etapas. Primer se descarga el documento y se ejecuta un componente que intenta determinar si el sistema operativo es virtualizado, esperando a ver si hay actividad del ratón antes de iniciar la segunda etapa del ataque.

La monitorización de los clicks de ratón no es una técnica de evasión de detección nueva, pero el malware que lo utilizaba en el pasado sólo esperaba un click, mientras que ahora se esperan hasta tres clicks antes de proceder a acceder a una web y descargar un programa de puerta trasera que se camufla como si fuera un archivo de imagen JPG, explica Rong en un post.

Otra técnica que utiliza para no ser detectado es que durante la primera etapa del ataque, el documento malicioso descarga los componentes poco a poco desde una URL ow.ly, que no es un nombre de dominio, sino un servicio para acortar las URL. De manera similar, la imagen que se descarga se hace desde una URL generada mediante un servicio de DNS dinámico.

El caso es que después de cargarse el primer componente, el archivo .jpg hace una copia de sí mismo llamado GoogleUpdate.exe y genera un enlace al archivo de arranque para asegurarse de que una vez que el usuario inicie la máquina el archivo se ejecute.

Cuando lo vean, los usuarios creerán que el archivo es parte del servicio de actualización de Google y por tanto que es un programa legítimo.

El programa de puerta trasera recoge la información del sistema y la carga en un servidor de comando y control.

Fuente:
por Rosalía Arroyo
http://www.itespresso.es



Otras noticias de interés:

Oracle emitirá el próximo martes 24 parches de seguridad
Oracle lanzará el próximo martes una actualización de seguridad que incluirá 24 parches para cubrir vulnerabilidades en sus productos de base de datos y servidor de aplicaciones, entre otros. ...
Y si un gobierno pide tus datos privados a un ISP?
Este es el encabezado de una nota bastante acertada del sitio alt1040.com, en donde Geraldine Juárez escribe de manera clara su forma de ver de lo que podría ocurrir si un Gobierno pide tus datos al proveedor de Internet. Es un hoyo jurídico en ca...
Ataca el Gusano Colevo, alias W32.Vivael@mm
W32/Colevo-A es un gusano de correo que se envía a los contactos del Messenger del usuario infectado. El correo tiene las siguientes características:...
Ronald Romero Venezonalo logra séptimo lugar en Concurso Reto Forense V2.0
Demostrando que Venezuela cuenta con personal capacitado, Ronald Romero obtuvo el séptimo en este prestigioso concurso de Informática Forense donde participaron más de 1000 personas....
Open Database Alliance, el fork de MySQL
Desde Finlandia, la Open Database Alliance, un consorcio neutral diseñado para convertirse en el centro de la industria de la base de datos de código abierto MySQL, incluyendo el código de MySQL y sus derivados, binarios, entrenamiento, soporte y ...
Irán confirma que rechazó un ciberataque
El Ministerio del Petróleo de Irán dijo el martes que sus sistemas de informática no sufrieron daños duraderos de un sospechado ciberataque, pero que sus expertos necesitarían dos a tres días para investigar y abordar el impacto del virus....
Los archivos ASF puede infectar
Los archivos con extensión ASF (Advanced Streaming Format) están diseñados para contener audio y video digital, siendo posible su reproducción por muchas aplicaciones tales como Irfanview, Winamp y otros, además de Windows Media Player. Los dere...
Vulnerabilidad en Safari
Se ha anunciado la existencia de una vulnerabilidad crítica en el navegador Safari incluido en los sistemas operativos Mac OS X, por la que atacantes maliciosos podrán lograr la ejecución automática de scripts cuando...
La mayoría de las vulnerabilidades se concentran en aplicaciones web
De acuerdo con un reporte del proveedor de seguridad Cenzic que abarca los últimos dos cuartos del 2008, la mayoría de las vulnerabilidades que se dieron a conocer durante este periodo eran de aplicaciones de Internet....
Defendiendo tus aplicaciones PHP con PHPIDS
En el sitio securitybydefault.com encontre un intersante artículo donde sugieren usar PHPIDS (curiosa aplicación) como un escudo ante tus código PHP. A continuación el texto:...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • clicks
  • computer
  • debian
  • detectado
  • estudia
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • raton
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra