Chrysaor, un nuevo malware que amenaza todo los dispositivos móviles con S.O. Android

0
Chrysaor

Chrysaor

Los investigadores de Google han publicado un post en su blog de seguridad para alertar a los usuarios de la existencia de un malware para Android que tiene la capacidad de convertir el móvil en una peligrosa herramienta de espionaje. Para que los usuarios estén prevenidos, la compañía explica cuáles son las características de este virus y da consejos a los usuarios para protegerse de la amenaza.

La compañía de seguridad informática Lookout fue quien detectó el malware, llamado Chrysaor, que se trata de una versión de Pegasus, un virus para iOS que conocimos en agosto del año pasado que podía hackear un iPhone con un solo clic. De acuerdo con el informe de Lookout, el nuevo software espía para Androides muy sofisticado y también habría sido creado por NSO Group Technologies, un grupo con sede en Israel especializado en la creación y venta de spyware e infraestructura para perpetrar ataques dirigidos.

Los investigadores de Google señalan que a finales de 2016 descubrieron unas pocas docenas de dispositivos Android que podrían haber instalado una app relacionada con Pegasus, destacando que el malware nunca estuvo disponible en Google Play y que las víctimas se infectaron descargando las aplicaciones maliciosas a través de otras vías.

Una vez que el spyware ha sido instalado en el teléfono móvil del usuario, permite que un operador remoto pueda vigilar las actividades del dispositivo y volcar todo su contenido,incluyendo las claves de acceso a los distintos servicios, monitorizando las apps de correo electrónico, mensajería instantánea y SMS. Además, también puede aprovechar el micrófono y las cámaras del smartphone para espiar las conversaciones y el entorno de las víctimas, puede realizar capturas de pantalla y está equipado con un keylogger para saber lo que se escribe en el teclado.

Chrysaor es capaz de persistir incluso después de restablecer el móvil a los ajustes de fábrica, pero lo más peligroso es que puede eliminarse automáticamente del dispositivo en caso de que se vea comprometido para no dejar rastros. Los expertos de Google señalan que, por fortuna, solo se han visto afectados por este software espía alrededor de tres docenas de usuarios, con los que la compañía ya ha contactado para evitar que el malware continúe actuando.

Anuncios

PeStudio: analizar archivos EXE antes de ejecución

0

Por lo general la mayoría de los ejecutables que descargamos desde Internet suelen ser cerrados, es decir, no podemos analizar su código para comprender su funcionamiento. Aunque los principales antivirus son capaces de detectar la mayoría de las amenazas actuales, es posible que algunos ejecutables, aunque no sean malware propiamente dicho, puedan realizar ciertas acciones peligrosas en nuestro sistema. Para poder analizar el comportamiento de estas aplicaciones, aunque sean de código cerrado, podemos utilizar PeStudio.

PeStudio es una herramienta desarrollada para poder analizar fácilmente todo tipo de archivos ejecutables (de los cuales no podemos ver el código fuente), identifica la información relevante sobre el funcionamiento de los mismos y nos la muestra en una ventana ordenada y relativamente sencilla de comprender, pudiendo saber qué módulos de los ejecutables pueden ser peligrosos para nuestro ordenador.

Podemos descargar PeStudio de forma gratuita desde su página web principal. Esta herramienta está libre de software no deseado y es portable, por lo que no requerirá instalación en el sistema.

Fuente: Redes Zone

Tinba, un troyano que se actualiza a sí mismo

0

Tinba

Los ciberdelincuentes siguen buscando nuevas formas de hacer negocio y para ello tienen que intentar ir un paso por delante de las soluciones de seguridad más avanzadas del momento, algo que han conseguido con Tinba, un troyano que es capaz de actualizarse a sí mismo.

Con esa medida consigue complicar a las soluciones antimalware su detección, de forma que puede seguir haciendo de las suyas en el equipo afectado.

Para facilitar la infección se utiliza publicidad en Adf.ly que sirve de disfraz a enlaces maliciosos que contienen el kit exploit HanJuan EK, que aprovecha vulnerabilidades zero day presentes en Flash Player e Internet Explorer para introducir el troyano.

Una vez dentro Tinba busca robar las credenciales del usuario y cualquier tipo de información sensible, como contraseñas, actuando como “hombre en el medio” e interceptando todas las comunicaciones que entran y salen del equipo.

Fobber, nombre que han dado al código binario que se ejecuta cuando el malware ataca al equipo del usuario, se autoactualiza para que sea mucho más difícil para las soluciones de seguridad detectar esta amenaza.

De momento no han detectado que este malware haya sido capaz de robar información bancaria, pero desde MalwareBytes, la firma que la ha descubierto, avisan que dada la flexibilidad que presenta no pueden descartarlo por completo.

Fuente: https://underc0de.org/

INGENIERÍA INVERSA DE MALWARE ES CASI IMPOSIBLE Y DETECTAR ESTE MALWARE DESTRUIRÁ TU PC

0

Detectar este malware destruirá tu ordenador

Aunque se trata de un tipo de virus normal, sin grandes capacidades, el verdadero peligro de este virus aparece una vez que es interceptado, ya que su venganza por descubrirlo será terrible.

Afecta particularmente a los ordenadores Windows y la función principal de este malware consiste en almacenar cualquier texto escrito en las diferentes ventanas del navegador. La forma de difundirse es a través de spam y pishing, según ha informado el blog Cisco de seguridad.

Este malware destruye ordenador

El comportamiento de este virus es similar al de muchos otros que almacenan contraseñas, pero Rombertik “es el único malware que intenta destruir el equipo si detecta incluso que está siendo analizado por un antivirus

Y es que Rombertik no solo se portará mal cuando intentes eliminar este virus de tu ordenador, simplemente con que detecte que estás activando el antivirus comenzará con el borrado de tu disco duro hasta dejarte el ordenador completamente destruido.

Rombertik completará varios rastreos una vez que está en marcha y funcionando en unordenador con Windows para ver si se ha detectado. Irá haciendo comprobaciones cada cierto tiempo, para ver si detectas este malware, mientras esté instalado en el ordenador.

Cada chequeo que Rombertik hace es más peligroso. Si bien intuye que se está haciendo algún cambio con el antivirus, o se está ejecutando el programa antimalware, Rombertik provoca la autodestrucción.

En primer lugar, este virus apunta a la Master Boot Record (MBR), el primer sector del disco duro de un PC que el equipo busca antes de cargar el sistema operativo. Si Rombertik no tiene acceso al MBR, destruye con eficacia todos los archivos en la carpeta de inicio de un usuario mediante la encriptación de cada uno con una clave.

Descubren un sofisticado troyano que engaña al sistema de identificación Captcha

0
Empleado para garantizar que las solicitudes proceden de una persona y no de un software automatizado, el sistema Captcha fue vulnerado con fines delictivos.
El troyano Podec, de cuya existencia informó la empresa Kaspersky, se hace pasar por una persona para engañar a Captcha tras infectar dispositivos Android a través de enlaces de versiones pirateadas de juegos populares como Minecraft Pocket Edition.
“Las herramientas de ingeniería social utilizadas en su distribución, el protector de calidad comercial para ocultar el malware y el complicado proceso de extorsión para superar la prueba de Captcha hacen sospechar que este troyano fue diseñado por un equipo de desarrolladores de Android especializados en fraude y monetización ilegal”, según los analistas de Kaspersky.
Podec reenvía automáticamente las solicitudes de Captcha a un servicio online de traducción humana en tiempo real que convierte la imagen a texto.
También es capaz de pasar por alto el asesoramiento sobre el sistema de carga que notifica a los usuarios el precio de un servicio y que exige autorización antes del pago, para que el usuario se suscriba al mismo sin percatarse de ello.
Tras la infección, Podec solicita los privilegios de administrador y, una vez concedidos, se imposibilita la eliminación o detención de la ejecución del código malicioso.
Podec actúa especialmente desde la popular red social de Rusia VKontakte, y, hasta el momento, la mayoría de víctimas fueron detectadas en ese país y otros vecinos. Kaspersky advirtió sin embargo que el desarrollo del troyano está todavía en curso y está añadiendo nuevas capacidades.