Malware que estudia los clicks de ratón para no ser detectado


La situación se vuelve cada vez más complicada para las empresas de seguridad. La empresa FireEye asegura haber detectado un nuevo ATP, o amenaza persistente avanzada, que utiliza múltiples técnicas para evitar ser detectado, incluida la monitorización de los clicks de ratón.





El malware detectado se llama Trojan.APT.BaneChant, y se está distribuyendo a través de un documento de Word que, según Chong Rong Hwa, investigador de FireEye tiene como objetivo los gobiernos de Oriente Medio y Asia Central.

Los ataques se producen en múltiples etapas. Primer se descarga el documento y se ejecuta un componente que intenta determinar si el sistema operativo es virtualizado, esperando a ver si hay actividad del ratón antes de iniciar la segunda etapa del ataque.

La monitorización de los clicks de ratón no es una técnica de evasión de detección nueva, pero el malware que lo utilizaba en el pasado sólo esperaba un click, mientras que ahora se esperan hasta tres clicks antes de proceder a acceder a una web y descargar un programa de puerta trasera que se camufla como si fuera un archivo de imagen JPG, explica Rong en un post.

Otra técnica que utiliza para no ser detectado es que durante la primera etapa del ataque, el documento malicioso descarga los componentes poco a poco desde una URL ow.ly, que no es un nombre de dominio, sino un servicio para acortar las URL. De manera similar, la imagen que se descarga se hace desde una URL generada mediante un servicio de DNS dinámico.

El caso es que después de cargarse el primer componente, el archivo .jpg hace una copia de sí mismo llamado GoogleUpdate.exe y genera un enlace al archivo de arranque para asegurarse de que una vez que el usuario inicie la máquina el archivo se ejecute.

Cuando lo vean, los usuarios creerán que el archivo es parte del servicio de actualización de Google y por tanto que es un programa legítimo.

El programa de puerta trasera recoge la información del sistema y la carga en un servidor de comando y control.

Fuente:
por Rosalía Arroyo
http://www.itespresso.es



Otras noticias de interés:

IE 10 contará con Do Not Track activado por defecto
La gigante informática de la ciudad de Redmond ha anunciado que la próxima versión de su popular navegador por internet, Internet Explorer 10, contará con una gran novedad que todos los usuarios agradecerán, en especial aquellos que les preocupa...
Jaqueado el lector de huellas dactilares de Microsoft
Conéctate con tu dedo. Di adiós a las contraseñas. Así dice -aún- la página sobre Microsoft Fingerprint Reader, el lector de huellas dactilares de Microsoft que acaba de ser jaqueado por Mikko Kiviharju, un investigador que trabaja para el ej...
La (in)seguridad digital
En una sociedad que utiliza intensamente las Tecnologías de la Comunicación y la Información (TIC) y que depende cada vez más de ellas, las empresas y personas son más vulnerables a los errores y las brechas de seguridad existentes en las aplica...
KDE 4.5.0 publicado
KDE es un proyecto de software libre para la creación de un entorno de escritorio e infraestructura de desarrollo para diversos sistemas operativos como GNU/Linux, Mac OS X, Windows, etc....
Desbordamiento de búfer en MS Content Management Server
Se han descubierto tres vulnerabilidades en Microsoft Content Management Server, la más seria de ellas puede permitir a un atacante la ejecución de código en el sistema afectado....
Alerta: La información privada contenida en el móvil puede ser "recuperada" por otras personas
Quienes quieran deshacerse de su móvil (Celular), ya sea vendiéndolo, donándolo o reciclándolo, deberían estar alertas a la información que pudiera contener su memoria, según advierte la agencia AP. Esa información, casi siempre privada y sen...
Porn dialer - Microsoft ha detectado malware en una actualización de software de Lenovo.
Una actualización de Lenovo incorporaba más elementos que los mencionados en la lista de contenidos. La división antivirus de Microsoft detectó código maligno en un paquete de actualización de software distribuido por Lenovo. ...
Valoración del Software Libre en la Sociedad 2012
Informe realizado por la gente de portalprogramas.com publicado el 12 de Noviembre donde estudian la importancia del software libre en la vida cotidiana....
RedHat promueve que no se permita patentes de software
Leemos en muylinux.com una nota referente a la postura de RedHat ante el uso de patentes de software....
I Reto de Autenticación Web ::
El Reto sigue adelante: Aunque ya hay más de 25 ganadores que han superado todas las pruebas, el Reto sigue adelante. Podrás concursar por el placer de poner a prueba tus conocimientos y comprobar si eres capaz de completar todos lo...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • clicks
  • computer
  • debian
  • detectado
  • estudia
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • raton
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra