Chrysaor, un nuevo malware que amenaza todo los dispositivos móviles con S.O. Android

0
Chrysaor

Chrysaor

Los investigadores de Google han publicado un post en su blog de seguridad para alertar a los usuarios de la existencia de un malware para Android que tiene la capacidad de convertir el móvil en una peligrosa herramienta de espionaje. Para que los usuarios estén prevenidos, la compañía explica cuáles son las características de este virus y da consejos a los usuarios para protegerse de la amenaza.

La compañía de seguridad informática Lookout fue quien detectó el malware, llamado Chrysaor, que se trata de una versión de Pegasus, un virus para iOS que conocimos en agosto del año pasado que podía hackear un iPhone con un solo clic. De acuerdo con el informe de Lookout, el nuevo software espía para Androides muy sofisticado y también habría sido creado por NSO Group Technologies, un grupo con sede en Israel especializado en la creación y venta de spyware e infraestructura para perpetrar ataques dirigidos.

Los investigadores de Google señalan que a finales de 2016 descubrieron unas pocas docenas de dispositivos Android que podrían haber instalado una app relacionada con Pegasus, destacando que el malware nunca estuvo disponible en Google Play y que las víctimas se infectaron descargando las aplicaciones maliciosas a través de otras vías.

Una vez que el spyware ha sido instalado en el teléfono móvil del usuario, permite que un operador remoto pueda vigilar las actividades del dispositivo y volcar todo su contenido,incluyendo las claves de acceso a los distintos servicios, monitorizando las apps de correo electrónico, mensajería instantánea y SMS. Además, también puede aprovechar el micrófono y las cámaras del smartphone para espiar las conversaciones y el entorno de las víctimas, puede realizar capturas de pantalla y está equipado con un keylogger para saber lo que se escribe en el teclado.

Chrysaor es capaz de persistir incluso después de restablecer el móvil a los ajustes de fábrica, pero lo más peligroso es que puede eliminarse automáticamente del dispositivo en caso de que se vea comprometido para no dejar rastros. Los expertos de Google señalan que, por fortuna, solo se han visto afectados por este software espía alrededor de tres docenas de usuarios, con los que la compañía ya ha contactado para evitar que el malware continúe actuando.

EFAST:Este malware Borra el navegador Chrome y lo sustituye por uno falso

1

efast-malware-adware-1

Un nuevo malware llamado EFAST navegador se parece a Google Chrome. Este malware elimina Google Chrome y reemplaza instalándolo como el navegador de Internet predeterminado para servirle anuncios molestos. Sepa cómo detectar y eliminarlo.

Un nuevo malware está en la ciudad que se disfraza como Google Chrome para secuestrar los sistemas informáticos de los usuarios. Este malware que sirve a sus propios anuncios intrusivos y vende su actividad a los terceros.

Los investigadores de Malwarebytes estado que este malware elimina Google Chrome y la sustituye por la instalación como el navegador de Internet predeterminado. Este no es el final – el malware se hace el programa predeterminado para abrir varios archivos como html, .jpg, .gif, .pdf y enlaces web.

Este malware es en realidad el navegador web EFAST que se parece a Google Chrome. Incluso se basa en el proyecto de código abierto Chromium, por lo que se comporta de la misma.

efast-malware-adware-1

 

Es extraño notar que ahora la sustitución de un navegador es realmente más fácil de infectar una. Esto es así ya que Google ha tomado medidas para bloquear las extensiones de Chrome mediante la implementación de filtros se encuentran Google revisión de código y la firma de código. Por lo tanto, la sustitución de todo el navegador podría ser la nueva forma de atacar a su PC.

El malware navegador EFAST también elimina todos los accesos directos de Google Chrome en lugar de con su propio.

efast-malware-adware-2

Para detectar el malware navegador EFAST, que hay que buscar en la configuración. Malwarebytes escribe: “No es hasta que nos fijamos en la configuración” “entrada en el menú” (o si escribe sobre EFAST “chrome://chrome “en la barra de direcciones).

Después de detectar el malware navegador EFAST en su PC, todo lo que tiene que hacer es ir a la lista de programas instalados y desinstalar la entrada “EFAST 000,110010107”.

CreadPag le aconseja instalar aplicaciones en su PC utilizando las fuentes de confianza y siguiendo las medidas de seguridad básicas para mantenerse a salvo.

Descubren cómo ocultar malware en descargas utilizando HTLM5

0

Las formas de conseguir que un usuario descargue malware en su equipo sin que sea realmente consciente son bastantes variadas. Un grupo de investigadores italianos ha descubierto la forma de utilizar HTML5 para realizarataques basados en descargas dirigidas de forma satisfactoria.

Tal y como han detallado los propios investigadores, en muchas ocasiones la utilización de este tipo de práctica no evita que las herramientas de seguridad instaladas en los equipos sean capaces de detectar las amenaza. Por este motivo, los ciberdelincuentes buscan en muchas ocasiones la forma de ofuscar el código y así evitar este problema.

De esta forma, APIs como Canvas, WebSocket, Web Workers, IndexedDB, localStorage o Web SQL servirían sin ningún tipo de problema para desempeñar esta funcionalidad y evitar que la amenaza sea descubierta.

Las pruebas comenzaron en el año 2013 y su culminación ha llegado este mismo mes, obteniendo pruebas satisfactorias en Firefox e Internet Explorer.

Los expertos en seguridad han comprobado que mientras los exploit que no poseen ningún tipo de ofuscación se detectan por la mayoría de las herramientas de seguridad, al agregar esta el resultado es muy distinto y solo unos poco antivirus consiguen detectar la presencia de la amenaza.

Tres técnicas diferentes de ofuscado se pueden utilizar con HTML5

Gracias a las APIs mencionadas con anterioridad el atacante puede realizar tres tipos de ofuscado:

-Delegado
-Distribuido
-Dirigido en tiempo de uso

Todas ellas son eficaces ante herramientas de protección estática y dinámica, por lo que los ciberdelincuentes van a tener donde elegir en las próximas semanas, sobre todo porque se trata de un fallo de seguridad que afecta a muchas herramientas de seguridad y que en algunos casos tardará en solucionarse varias semanas.

Fuente: redeszone.net

INGENIERÍA INVERSA DE MALWARE ES CASI IMPOSIBLE Y DETECTAR ESTE MALWARE DESTRUIRÁ TU PC

0

Detectar este malware destruirá tu ordenador

Aunque se trata de un tipo de virus normal, sin grandes capacidades, el verdadero peligro de este virus aparece una vez que es interceptado, ya que su venganza por descubrirlo será terrible.

Afecta particularmente a los ordenadores Windows y la función principal de este malware consiste en almacenar cualquier texto escrito en las diferentes ventanas del navegador. La forma de difundirse es a través de spam y pishing, según ha informado el blog Cisco de seguridad.

Este malware destruye ordenador

El comportamiento de este virus es similar al de muchos otros que almacenan contraseñas, pero Rombertik “es el único malware que intenta destruir el equipo si detecta incluso que está siendo analizado por un antivirus

Y es que Rombertik no solo se portará mal cuando intentes eliminar este virus de tu ordenador, simplemente con que detecte que estás activando el antivirus comenzará con el borrado de tu disco duro hasta dejarte el ordenador completamente destruido.

Rombertik completará varios rastreos una vez que está en marcha y funcionando en unordenador con Windows para ver si se ha detectado. Irá haciendo comprobaciones cada cierto tiempo, para ver si detectas este malware, mientras esté instalado en el ordenador.

Cada chequeo que Rombertik hace es más peligroso. Si bien intuye que se está haciendo algún cambio con el antivirus, o se está ejecutando el programa antimalware, Rombertik provoca la autodestrucción.

En primer lugar, este virus apunta a la Master Boot Record (MBR), el primer sector del disco duro de un PC que el equipo busca antes de cargar el sistema operativo. Si Rombertik no tiene acceso al MBR, destruye con eficacia todos los archivos en la carpeta de inicio de un usuario mediante la encriptación de cada uno con una clave.

Distribuyen malware haciendo uso de un Word contenido en el interior de un PDF

0

La astucia empleada por los ciberdelincuentes para provocar que los usuarios instalen malware en su equipo de sobremesa o terminal móvil alcanza límites jamás pensados. En esta ocasión y para distribuir una copia del troyano Dridex se han ayudado de un documento de Microsoft Word que se encuentra en el interior de un archivo PDF.

Este método no se encuentra muy extendido en la actualidad y solo se ha visto en un par de ocasiones más. Haciendo uso de este se está distribuyendo el malware bancario Dridex, bastante conocido por lo usuarios y al que ya hemos echo mención en RedesZone en varias ocasiones. La funcionalidd de este no es otra que la recopilación de datos de los usuarios, sobre todo de servicios bancarios y redes sociales. La antigüedad de esta troyano es bastante considerable, por lo tanto, la detección y eliminación por parte de la mayoría de las herramientas de seguridad de los sistemas operativos Windows no debería ser un problema.

El archivo que instala el malware se distribuye haciendo uso de correos electrónicos haciendo uso de diferentes temáticas, aunque en la mayoría de las ocasiones se suele advertir al usuario de un problema con la compra en algún servicio como Amazon o eBay.

Un documento Word dentro de un PDF

Aunque parezca rocambolesco, el documento de la suite de Microsoft es el que posee la macro que inicia la descarga del archivo ejecutable que instalará Dridex, mientras que el PDF es lo que el usuario percibe en el correo electrónico. De forma transparente al usuario, este último posee un Javascript que se encarga de ejecutar el documento Word y por lo tanto la macro contenida en él.

Tal y como ya hemos comentado con anterioridad, el problema con el que se encuentra este troyano es la antigüedad de su código fuente, fácilmente detectable por cualquier herramienta de seguridad existente en la actualidad.

Los países nórdicos de Europa y Estados Unidos son los más afectados por la oleada de correos que distribuyen este malware.

Fuente | http://www.redeszone.net/