 |
||
Moker RAT es la amenaza APT más recientemsc hotline sat Thursday, October 8, 2015 Los investigadores en ciberseguridad de la empresa enSilo han descubierto un tipo de malware nuevo, poderoso y persistente que azota a la red de uno de sus clientes. 
Este malware, al que denominaron Moker después de ver una descripción en su archivo ejecutable, es un troyano de acceso remoto (RAT) con grandes características antidetección y antidepuración. Moker toma el control total de la máquina objetivo mediante la creación de una nueva cuenta de usuario y la apertura de un canal de RDP para hacerse con el control remoto del dispositivo de la víctima, explicaron los investigadores. Moker manipula los archivos del sistema y modifica la configuración de seguridad, además de que se inyecta en diferentes procesos del sistema. También es capaz de grabar las pulsaciones del teclado, realizar capturas de pantalla, grabar el tráfico web y extraer archivos de forma silenciosa. En resumen, tiene una gama de capacidades que ayudan a los atacantes a saber todo lo que está sucediendo en un equipo víctima y más allá. "Curiosamente, Moker no necesariamente tiene que ser controlado de forma remota", encontraron los investigadores. "Una característica del RAT es un panel de control que permite al atacante controlar el malware a nivel local". Esto hace que Moker también sea un troyano de acceso local (LAT). "Creemos que esta característica se agregó posiblemente para que un atacante suplante a un usuario legítimo (por ejemplo, ingresando vía VPN a la empresa para luego manejar Moker localmente) o se insertó por el autor del malware para realizar pruebas pero permaneció también en la versión de producción", señalaron. Las capacidades de evasión de detección de Moker incluyen código de empaquetado y una instalación en dos etapas (primero un instalador que "prepara" las máquinas y evade las sandboxes y después la carga útil maliciosa cifrada). Los antivirus y protección antimáquinas virtuales también están incluidos, el malware es capaz de pasar el Control de Acceso de Usuarios (UAC) de Windows, explotando un fallo de diseño conocido. A diferencia de la mayoría del malware, Moker obtiene privilegios del sistema. Las medidas usadas por el malware contra la investigación se detallan en esta publicación de blog de Yotam Gottesman de enSilo: http://breakingmalware.com/malware/moker-part-1-dissecting-a-new-apt-under-the-microscope/ que compartió paso a paso el proceso usado para evadirlas. Ver información original al respecto en Fuente: http://www.seguridad.unam.mx/noticia/?noti=2531 |
 RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com
|