Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Software de vigilancia usa certificados legítimos para evitar detección
Investigadores descubrieron una nueva familia de malware que utiliza certificados digitales comprometidos para evitar su detección, una vez infectado el dispositivo se vigila la actividad del mismo enviando la información al atacante.
Los atacantes utilizan una campaña de phishing dirigido donde envían archivos ZIP adjuntos que contienen software malicioso escrito en JavaScript, de acuerdo con ThreatLabZ de Zscaler.
La familia de malware troyano, denominada por los investigadores como Spymel, es difícil de detectar, ya que los archivos ZIP utilizan certificados legítimos que fueron emitidos por DigiCert, escribieron en el blog los investigadores de ThreatLabZ de la empresa Zscaler, Tarun Dewan y Amandeep Kumar. El certificado original fue revocado por DigiCert. "Nos dimos cuenta de que una nueva variante surgió a dos semanas de la primera variante, utilizando otro certificado firmado a SBO INVEST, el cual también se revocó", escribieron los investigadores.
"Hay una gran cantidad de proveedores de seguridad que no realizan la inspección SSL. Se debe realizar la inspección SSL de ataque de hombre en medio," dijo el líder de la investigación Deepen Desai de Zcaler. "Muchos de estos ataques avanzados son ataques de múltiples etapas que intentan explotar la situación anterior."
Una vez ejecutado, el código registra las pulsaciones del teclado y evita que el usuario pueda terminar la ejecución del malware a través de las herramientas del sistema como taskmgr, Procexp, ProcessHacker y Taskkill.
La campaña parece ser consistente con una tendencia de programas maliciosos que cargan archivos para ejecutar comandos en los dispositivos infectados.
"Cualquier proveedor que examine contenido malicioso ejecutable sobre el tráfico de red debe ser capaz de detectar el malware", dijo Desai. El ataque fue a través de HTTP, no a través de SSL, explicó.
En un informe publicado por Menlo Security, la compañía encontró que uno de cada tres de los sitios web del top ranking de Alexa están comprometidos o ejecutan software vulnerable y en riesgo de verse comprometidos. Seis por ciento de los sitios web fueron identificados como propagadores de malware, spam o ataques de botnets.
