malware

Los desarrolladores del troyano bancario Android Cerberus tienen la intención de vender todo su proyecto. La licitación se realizará en forma de una subasta, y el precio inicial es de $ 50 mil. Por $ 100 mil, los desarrolladores están listos para separarse de su creación, sin negociación. Por su dinero, el comprador recibirá el código fuente del troyano, APK, módulos, un panel de administración, servidores, listas de clientes actuales y potenciales, una guía de instalación y los scripts necesarios para el buen funcionamiento de todos los componentes.

Durante al menos un año, los desarrolladores de Cerberus han estado promoviendo activamente sus servicios y alquilando malware por $ 12,000 al año. Los clientes también tuvieron acceso a la renta por un período más corto ($ 4 mil por 3 meses y $ 7 mil por 6 meses). Según la publicación del vendedor en uno de los foros cibercriminales en idioma ruso, el negocio actualmente genera ingresos de $ 10 mil por mes. Según ellos, el equipo de Cerberus se ha desintegrado, y los desarrolladores restantes no tienen tiempo suficiente para soportar el troyano las 24 horas del día.

Vale la pena señalar que Cerberus es el primer malware del mundo que roba códigos de autenticación de dos factores por única vez. El malware combina las funciones de un troyano bancario y un troyano de acceso remoto (RAT). Su código está escrito desde cero y no es un "clon" de ningún troyano cuyas fuentes se hayan filtrado a Internet.

Cerberus puede determinar si se está ejecutando en un dispositivo real o en un entorno limitado. El malware tiene grandes capacidades. Por ejemplo, puede falsificar notificaciones de servicios bancarios que se ejecutan en el dispositivo infectado para obligar a la víctima a ingresar credenciales, así como robar códigos de autenticación de dos factores.

Más detalles: https://www.securitylab.ru/news/510564.php

Internacionales

MATA: marco de malware dirigido multiplataforma

Guido Rosales 24/07/2020

A medida que el entorno de TI y OT se vuelve más complejo, los adversarios se adaptan rápidamente a su estrategia de ataque. Por ejemplo, a medida que los entornos de trabajo de los usuarios se diversifican, los adversarios están ocupados adquiriendo los TTP para infiltrarse en los sistemas. Recientemente, informamos a nuestros clientes de Threat Intelligence Portal un marco de malware similar que internamente llamamos MATA. El marco de malware MATA posee varios componentes, como el cargador, el orquestador y los complementos. Este marco integral puede apuntar a los sistemas operativos Windows, Linux y macOS.

Los primeros artefactos que encontramos relacionados con MATA se usaron alrededor de abril de 2018. Después de eso, el actor detrás de este marco avanzado de malware lo usó agresivamente para infiltrarse en entidades corporativas de todo el mundo. Identificamos a varias víctimas de nuestra telemetría y descubrimos el propósito de este marco de malware.

Versión de Windows de MATA

La versión de Windows de MATA consta de varios componentes. Según nuestra telemetría, el actor utilizó un malware de carga para cargar la carga útil cifrada de la siguiente etapa. No estamos seguros de que la carga útil cargada sea el malware del orquestador, pero casi todas las víctimas tienen el cargador y el orquestador en la misma máquina.

Loader

Este cargador toma una cadena hexadecimal codificada, la convierte en binaria y la descifra AES para obtener la ruta al archivo de carga útil. Cada cargador tiene una ruta codificada para cargar la carga útil cifrada. El archivo de carga útil se descifra y carga AES.

Del malware del cargador encontrado en una de las víctimas comprometidas, descubrimos que el proceso principal que ejecuta el malware del cargador es el proceso "C: \ Windows \ System32 \ wbem \ WmiPrvSE.exe". El proceso WmiPrvSE.exe es el "proceso de host proveedor de WMI", y generalmente significa que el actor ha ejecutado este malware del cargador desde un host remoto para moverse lateralmente. Por lo tanto, evaluamos que el actor utilizó este cargador para comprometer hosts adicionales en la misma red.

Orquestador y complementos
Descubrimos el malware del orquestador en el proceso lsass.exe en las máquinas de las víctimas. Este malware de orquestador carga datos de configuración cifrados de una clave de registro y los descifra con el algoritmo AES. A menos que exista el valor del registro, el malware utiliza datos de configuración codificados. El siguiente es un ejemplo de valor de configuración de una muestra de malware de orquestador:

El orquestador puede cargar 15 complementos al mismo tiempo. Hay tres formas de cargarlos:

Descargue el complemento del servidor HTTP o HTTPS especificado
Cargue el archivo de complemento cifrado con AES desde una ruta de disco especificada
Descargue el archivo de complemento de la conexión actual de MataNet
Los autores de malware llaman a su infraestructura MataNet. Para la comunicación encubierta, emplean conexiones TLS1.2 con la ayuda de la biblioteca de código abierto "openssl-1.1.0f", que está estáticamente vinculada dentro de este módulo. Además, el tráfico entre los nodos MataNet se cifra con una clave de sesión RC4 aleatoria. MataNet implementa tanto el modo cliente como el servidor. En modo servidor, el archivo de certificado "c_2910.cls" y el archivo de clave privada "k_3872.cls" se cargan para el cifrado TLS. Sin embargo, este modo nunca se usa.

El cliente MataNet establece conexiones periódicas con su C2. Cada mensaje tiene un encabezado de 12 bytes de longitud, donde el primer DWORD es la ID del mensaje y el resto son los datos auxiliares, como se describe en la tabla a continuación:

Siga con este articulo en: https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/

Internacionales

Detectan 47 aplicaciones con troyanos en Google Play

AdminYpt 01/07/2020

Los expertos de Avast, una empresa especializada en 'software' de seguridad y protección digital, descubrieron en la tienda de aplicaciones Google Play Store 47 programas con troyanos publicitarios que simulan juegos.

"Las aplicaciones, que estaban disponibles en Play Store son parte de la familia HiddenAds, un troyano disfrazado de aplicación segura y útil pero que, en cambio, sirve anuncios intrusivos fuera de la aplicación", dice el comunicado de la empresa.

Avast ya ha informado a los representantes de la tienda de Google Play sobre las aplicaciones maliciosas, pero algunas siguen disponibles en la plataforma, advierten los especialistas.

Google continúa la investigación sobre estas aplicaciones. Los expertos observan que las app detectadas fueron descargadas más de 15 millones de veces.

Las aplicaciones con troyanos HiddenAds pueden ocultar sus iconos en un dispositivo infectado y mostrar anuncios.

Entre las aplicaciones detectadas, siete pueden abrir un navegador en el smartphone para mostrar anuncios adicionales.

"Incluso cuando un usuario elimina una aplicación de su dispositivo, los anuncios seguirán mostrándose todo el tiempo", dicen los expertos.

Las campañas como HiddenAds pueden entrar en Play Store ocultando su verdadero propósito o introduciendo lentamente funciones maliciosas una vez descargadas por los usuarios. Estas campañas son difíciles de prevenir, puesto que los ciberdelincuentes utilizan cuentas de desarrollo únicas para cada aplicación.

"Los usuarios deben permanecer atentos a la hora de descargar nuevas aplicaciones en sus dispositivos y verificar si hay signos reveladores de una mala aplicación, como críticas negativas, amplias solicitudes de permiso de dispositivos y desarrolladores desconocidos", comentó Jakub Vávra, analista de amenazas de Avast.

Avast es una de las mayores empresas de software de seguridad del mundo. Fue fundada en 1991 en la República Checa. Unos de los mayores mercados de Avast son Estados Unidos y Canadá, Brasil, Francia, Rusia y Alemania.

Fuente original del Articulo:https://mundo.sputniknews.com/tecnologia/202006261091894191-detectan-47-aplicaciones-con-troyanos-en-google-play/