IcoScript, un sofisticado troyano que se comunica con sus creadores a través de 'webmail'msc hotline sat Tuesday, September 2, 2014 •Crea sus propios mensajes de correo electrónico y envia datos robados a un servidor remoto A través de Internet Explorer: IcoScript es un nuevo e inusual tipo de 'malware' capaz de utilizar los servicios de correo web de portales tan conocidos como Yahoo! o Gmail para comunicarse con sus creadores y ejecutar comandos recibidos desde su servidor de control en los equipos infectados. Los expertos en seguridad de G DATA han llamado a este malware Win32.Trojan.IcoScript.A. y su análisis detallado ha sido publicado en la revista británica especializada Virus Bulletin. El malware aprovecha que el acceso a los servicios de correo web rara vez se bloquea en las redes empresariales, este sofisticado troyano podría utilizarse de forma totalmente desapercibida en muchas organizaciones. USO MALICIOSO DE WEBMAIL: Mientras que los troyanos usan habitualmente protocolos de comunicación específicos para establecer contacto con su servidor, IcoScript es capaz de manipular el navegador Internet Explorer para hacer un uso fraudulento de los servicios de 'webmail' a través de los cuales se comunica con sus creadores y establece sus funciones de comando y control. Asimismo, IcoScript también es capaz de crear sus propios mensajes de correo electrónico y enviar datos robados del equipo infectado a su servidor remoto. Las posibilidades de acción de este código malicioso son amplias y difíciles de detectar durante los análisis de seguridad. El código es modular y "su forma de actuar no tendría por qué restringirse solo al webmail de Yahoo, pudiendo cambiar en cualquier momento de plataforma de comunicación", como explica el responsable de G DATA Securty Labs, Ralf Benzmüller, que ha reconocido también que "incluso plataformas como LinkedIN, Facebook y otras redes sociales podrían usarse de esta forma fraudulenta". EL CÓDIGO EN DETALLE El 'malware' IcoScript inició su actividad en 2012 y es una herramienta modular de administración remota (RAT, Remote Administration Tool) cuyo objetivo son ordenadores con Windows. IcoScript se camufla a la perfección y utiliza maliciosamente la interfaz de programación de Microsoft COM (Component Object Model), que, entre otras funciones, ofrece la posibilidad de escribir 'plug-ins' y aplicaciones para el navegador, para conseguir acceso a Internet Explorer. Esta característica proporciona a los ciberdelincuentes la posibilidad de comprometer el navegador de forma totalmente invisible para el usuario (las soluciones de G DATA detectan la amenaza)."La versatilidad del 'malware', que integra sus actividades en flujos de procesos regulares, presenta grandes dificultades a los departamentos de seguridad y sistemas de defensa", advierte Ralf Benzmüller. ANÁLISIS COMPLETO EN VIRUS BULLETIN Los análisis realizados por G DATA han sido publicados en la revista británica especializada en seguridad informática Virus Bulletin: https://www.virusbtn.com/virusbulletin/archive/2014/08/vb201408-IcoScript bajo el título IcoScript: Using Webmail to control 'malware'."Virus Bulletin desempeña un papel importante en la industria y cuenta con una excelente reputación por su independencia y la rigurosidad de la información que aporta sobre seguridad informática y 'malware'", explica Ralf Benzmüller Ver mas informacion al respecto en Fuente: http://www.telecinco.es/informativos/tecnologia/IcoScript-sofisticado-troyano-comunica-creadores_0_1853250165.html Informe del preanalisis de virustotal: MD5 2c80a0afeceed501a943ef354f4b7dbe SHA1 46b0d48c286aaf4eaca37c751a081682c022f665 Tamaño del fichero 64.0 KB ( 65536 bytes ) SHA256: d0d140bb8265ad2f4b0bcec423e1cda012ce9dbb087940aa6b585705491128fb Nombre: host.exe Detecciones: 34 / 54 Fecha de análisis: 2014-08-08 08:18:29 UTC 0 1 Antivirus Resultado Actualización AVG Generic27.CIIM 20140808 AVware Trojan.Win32.Generic!BT 20140808 Ad-Aware Trojan.Generic.7641086 20140808 Agnitum Trojan.Vilsel!zftj7iNo6mE 20140807 AntiVir TR/ATRAPS.Gen 20140808 Antiy-AVL Trojan/Win32.Vilsel 20140808 Avast Win32:Malware-gen 20140807 Baidu-International Trojan.Win32.Vilsel.cC 20140808 BitDefender Trojan.Generic.7641086 20140808 Bkav W32.Clodff8.Trojan.3079 20140808 Comodo UnclassifiedMalware 20140808 DrWeb Trojan.StartPage.45136 20140808 Emsisoft Trojan.Generic.7641086 (B) 20140808 F-Secure Trojan.Generic.7641086 20140808 Fortinet W32/Vilsel.BJRU!tr 20140808 GData Trojan.Generic.7641086 20140808 Ikarus Trojan.Win32.Vilsel 20140808 Jiangmin Trojan/Generic.agggm 20140808 Kaspersky Trojan.Win32.Vilsel.bjru 20140808 Kingsoft Win32.Troj.Vilsel.(kcloud) 20140808 McAfee Artemis!2C80A0AFECEE 20140808 MicroWorld-eScan Trojan.Generic.7641086 20140808 Microsoft Trojan:Win32/Vilsel.C 20140808 NANO-Antivirus Trojan.Win32.Vilsel.sskzp 20140808 Panda Generic Trojan 20140807 Qihoo-360 HEUR/Malware.QVM07.Gen 20140808 Sophos Troj/Mdrop-EHJ 20140808 Symantec Trojan.Icoscript 20140808 Tencent Win32.Trojan.Vilsel.Htme 20140808 TrendMicro TROJ_SPNR.30ID12 20140808 TrendMicro-HouseCall TROJ_SPNR.30ID12 20140808 VBA32 Trojan.Vilsel 20140807 VIPRE Trojan.Win32.Generic!BT 20140808 nProtect Trojan.Generic.7641086 20140807 saludos ms, 2-9-2014 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |