SEGURIDAD | Noticias | 08 ABR 2013

Virus furtivos se esconden detrás del ratón para utilizar nuestros clics

Tags: Actualidad
De vueltas con el malware avanzado que se fija como objetivo el seguimiento de los clics del ratón. Ya lo alertaban hace meses los expertos y ahora los investigadores de FireEye han descubierto una amenaza persistente avanzada (APT) que emplea múltiples técnicas de detección, incluida la monitorización de los clics, para determinar el comportamiento del usuario del ordenador infectado.
PCWORLD PROFESIONAL

Denominado APT BaneChant, el troyano se difunde vía documento de Word infectado con un virus que se envía durante ataques vía email específicos. El nombre del documento es “Islamic Jihad.doc”. “Sospechamos que este documento de ataque se dirige a gobiernos de Occidente y Asia”, asegura Chong Rong, analista de FireEye en una reciente entrada de su blog.

El ataque funciona a varios niveles. El documento infectado descarga y ejecuta un componente que determina si el entorno operativo está virtualizado, al igual que un antivirus tipo sandbox o un sistema de análisis de virus automático, y detecta si hay actividad de ratón antes de iniciar la segunda fase de su ataque.

El control de los clics de ratón no es nuevo, pero hasta ahora el malware que utilizaba esta técnica evasiva esperaba el primer clic del ratón y BaneChan espera tres clics antes de proceder a desencriptar una URL y descargar una puerta trasera que se enmascara como imagen JPG, explica Rong Hwa.

El programa de puerta trasera reúne y carga información del sistema a un servidor command-and-control y soporta varios comandos, incluyendo uno para descargar y ejecutar archivos adicionales a los ordenadores infectados.

“Como tecnología avanzada, el virus también evoluciona”, Malwareasegura  Rong Hwa. En esta instancia, el malware utiliza varios trucos, incluso sortea los filtros, detecta el comportamiento del usuario y evita la tecnología de extracción binaria a nivel de red para la realización de encriptación XOR multibyte de archivos ejecutables. Para ello, disfraza el malware como proceso legítimo y sortea los análisis forenses, mediante código malicioso sin archivo que se carga directamente en la memoria y evita los controles de lista negra, mediante la redirección vía servicios DNS dinámicos y de URL reducida, concluye el experto.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información