CONVOCATORIA PARA CURSOS


 Programación de Cursos Segurmática para el 2019

Programación de Eventos y talleres Año 2019 Segurmática


Malware de control remoto empaquetado en instaladores de Zoom

Investigadores de TrendMicro han encontrado una familia de troyanos de control remoto (RAT) distribuidos junto con instaladores legítimos de Zoom.

El confinamiento por la pandemia del coronavirus ha disparado el uso de aplicaciones de videoconferencia como Zoom. El perfil de sus usuarios es muy variado y algunos menos técnicos son un punto flaco que ciberdelincuentes aprovechan para llevar a cabo sus ataques.

Zoom ya ha sido el objetivo de atacantes e investigadores de seguridad  que han aprovechado y descubierto varias vulnerabilidades  en este período de confinamiento.

En este caso no se trata de un fallo de seguridad en el programa, sino un esquema de ataque mucho más simple que utiliza la popularidad del software como cebo: los ciberdelincuentes distribuyen instaladores de Zoom legítimos empaquetados junto con un «backdoor» que permite controlar de forma remota al equipo infectado.

Este troyano ha sido bautizado por los investigadores como «RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO)». Y permite tomar el control de la máquina que ha sido infectada:

* Añadir, borrar o modificar ficheros e información del registro.

* Cerrar conexiones bajo demanda.

* Exfiltrar información sobre el software o el hardware de la máquina.

* Tomar capturas de la webcam del dispositivo.

* Grabar audio y pulsaciones de teclado.

* Iniciar, suspender o terminar procesos o servicios.

* Retransmitir en directo la pantalla de la víctima.

* Conectar o desconectar el WiFi.

Para asegurar su persistencia se instala el fichero «Zooom.vbs» en la carpeta de inicio del usuario, lo que permite la ejecución del malware al inicio del sistema. Siempre y cuando no se detecte ningún indicio de que hay un analista intentando descubrir sus mecanismos. Para ello comprueba la presencia de procesos como:

* aswidagent.exe

* avastsvc.exe

* avastui.exe

* avgsvc.exe

* avgui.exe

* avp.exe

* bdagent.exe

* bdwtxag.exe

* dwengine.exe

* mpcmdrun.exe

* msmpeng.exe

* nissrv.exe

* ollydbg.exe

* procexp.exe

* procexp64.exe

* procmon.exe

* procmon64.exe

* windbg.exe

Y finaliza su ejecución en caso de encontrar alguno. No solo eso, también se comprueba si el entorno en el que se está ejecutando se trata de una máquina virtual:

* Kernel-based Virtual Machine

* Microsoft Hypervisor

* Parallels Hypervisor

* VirtualBox

* VMware

* Xen Virtual Machine Manager

O si encuentra ficheros de nombre similar a alguno de los siguientes:

* Malware

* Sample

* Sandbox

Todo esto complica el análisis a un experto y lo hace indetectable para el usuario con menos experiencia.

La víctima ejecutará una instalación legítima de Zoom que funcionará de la forma habitual. Sin embargo en este punto su máquina ya habrá sido comprometida.

Las muestras analizadas por TrendMicro enviaban la información de la víctima a través de peticiones HTTP POST a la URL hxxps://213.188.152.96/recv7[.]php y utilizaban la URL dabmaster[.]wm01[.]to y barclaysb[.]wm01[.]to como servidor de control y comando.

#revcode (https://twitter.com/hashtag/revcode?src=hash&ref_src=twsrc%5Etfw) #rat (https://twitter.com/hashtag/rat?src=hash&ref_src=twsrc%5Etfw) via @Bitly (https://twitter.com/Bitly?ref_src=twsrc%5Etfw) at:

 

https://bitly[.]com/31r0api

Video de la Semana


 

¿Cómo quitar contraseñas de documentos Word y comprimidos Winrar?