Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Expertos confirman existencia de malware para espiar a oposición siria
El pasado mes, CNN reportó que simpatizantes del régimen sirio desarrollaron un virus de computadora para espiar a aquellos que se oponían al gobierno. Los expertos de Trend Micro analizaron el Troyano de Acceso Remoto (RAT en Inglés) Darkcomet, y revelaron cómo es utilizado, así como su mecanismo de propagación.
Aparentemente el malware se esparce por medio de la plataforma de mensajería instantánea Skype, y en algunos casos escondido tras un ícono de Facebook.Después de su ejecución, el malware se conecta a un servidor Command and Control (C&C) que está alojado por la compañía siria de telecomunicaciones, Syrian Telecommunications Establishment.
El Troyano DarkComet es muy complejo por dentro, lo que permite a sus creadores no sólo tomar fotografías con la cámara web del equipo infectado, sino que también permite grabar conversaciones con el micrófono del equipo, y registrar las teclas presionadas del usuario o transferir archivos.
Mientras los desarrolladores de DarkComet siguen trabajando en él y mejorándolo, reportes recientes aseguran que los desarrolladores están arrepentidos pues su trabajo está siendo utilizado contra la gente de Siria. También expresaron su intento por crear un detector de este malware para ayudar a los sirios a proteger sus equipos.
Una de las variantes del malware analizada por Trend Micro, identificada como Bkds_Zapchast.SG, era DarkComet versión 5, así como otra versión, la Bkdr.Breut.A, era clasificada como DarkComet 3.3.
El análisis también arrojó dos archivos ejecutables, uno es una herramienta para cambiar las direcciones MAC de los equipos, y el segundo es otro archivo que es responsable de todo el daño, pues inmediatamente se conecta al servidor C&C, y empieza a ejecutar sus instrucciones.
"A la fecha, hemos analizado 10 muestras que se conectan a la misma dirección IP y muestran la misma funcionalidad. Algunos de los utilizados para descargar la muestra, mostraron imágenes de señuelo. Estas muestras contienen las versiones 3.3 ó 5 de DarkComet", explican expertos de Trend Micro.
Twitter está lleno de mensajes en los que se demuestra el apoyo a la gente de Siria. Ahora sólo queda observar si los esfuerzos de la Armada Cibernética de Siria (grupo de simpatizantes del gobierno local), y los oficiales de estado podrán ser derrotados por los hacktivistas.
