• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    El troyano de anuncio fraudulento Kovter se convierte en ransomware

    El troyano de anuncio fraudulento Kovter se convierte en ransomware Kovter, una pieza recientemente descubierta como ransomware, representa el último paso en la evolución de un programa malicioso llamado el virus de la policía al ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      El troyano de anuncio fraudulento Kovter se convierte en ransomware

      El troyano de anuncio fraudulento Kovter se convierte en ransomware



      Kovter, una pieza recientemente descubierta como ransomware, representa el último paso en la evolución de un programa malicioso llamado el virus de la policía al malware cifrador de archivos.

      Visto por primera vez en el 2013, cuando actuaba como el virus de la policía, Kovter utiliza un ejecutable polimórfico que persistía en la máquina infectada, mediante el aprendizaje de la actividad del usuario a través de la observación. Tan pronto como el usuario intentaba descargar archivos, el malware emitía un mensaje que indicaba que el usuario había violado la ley y exigía que pague una multa.

      Un año más tarde, el programa malicioso se dedicaba a actividades de publicidad de fraudulentas, utilizando distintas instancias para evitar ser detectado, y al mismo tiempo analizaba el tráfico de Internet de los usuarios. Kovter utilizaba cmd.exe para comunicarse con el dominio, aún activo, MrAntiFun.net - el método lograba como resultado abrir el navegador por defecto, obteniendo información sobre la computadora infectada, así como su ubicación, informaron los investigadores CheckPoint.

      El año pasado luego de instalarse los parches de Adobe Flash Player e Internet Explorer que aprovechaban las vulnerabilidades, se observó que el troyano se mantuvo lejos de las máquinas de las víctimas. Los investigadores de seguridad también encontraron que el malware estaba empleando técnicas similares a la escritura de software malicioso Poweliks, que usa Windows PowerShell para ejecutar el código ejecutable del troyano, realizando así una infección sin archivo (que no escribe un archivo en el disco duro para infectar el sistema).

      Como explica checkpoint, Kovter comenzó a almacenar los datos en el registro para la infiltración, la penetración, el reconocimiento y la persistencia, por lo que el malware era difícil de detectar por un sistema basado en firmas. En ese momento, el programa malicioso fue involucrado tanto en clics fraudulentos y scareware, así como en la exfiltración de datos.

      Este año, Kovter se transformo en parte en ransomware debido a la tendencia de este tipo de infección, aunque todavía muestra un enfoque de evasión en lugar del cifrado en si.

      Los investigadores descubrieron que ofusca sólo el comienzo de los archivos, que rápidamente "encripta" la mayoría de los ficheros que encuentre interesante, y almacena la clave de cifrado a nivel local, por lo que es fácil de romper.

      El ransomware utiliza cmd.exe como salto de escritura de directorio en la búsqueda de archivos para cifrar, evitando así su detección. El malware buscará unidades de archivos para cifrar, a continuación, añadirá la extensión .crypted a ellos, y activará el proceso 371255.exe para llevar a cabo la ofuscación. La carta de rescate se muestra como un archivo de texto mediante el Bloc de notas.

      El malware realiza la misma operación de codificación para todas las letras de unidades, incluyendo partes de la red que el usuario ha dado permisos de escritura.

      "Kovter ha cambiado significativamente con el tiempo. A pesar de las diferentes muestras tienen diferentes objetivos y utilizan técnicas alternativas, al fin de mantener algunos rasgos de coherencia en todas las muestras. Todas las variaciones de Kovter hacen hincapié en la evasión. No hay duda que Kovter seguirá evolucionando, " según afirmó, Tami Leiderfarb, Investigador Senior de Check Point y Líder en Amenazas Tecnologícas.


      Fuente: SecurityWeek
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Chelusa
      Registrado
      dic 2014
      Ubicación
      argentina
      Mensajes
      111

      Re: El troyano de anuncio fraudulento Kovter se convierte en ransomware

      si no fuese que es para perjudicar , es una obra maestra , muy bien diseñada e inteligiblemente adaptada a los tiempos actuales

    3. #3
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: El troyano de anuncio fraudulento Kovter se convierte en ransomware

      Cita Originalmente publicado por Chelusa Ver Mensaje
      es una obra maestra , muy bien diseñada e inteligiblemente adaptada a los tiempos actuales
      mmmm yo lo consideraría mas como un sobreviviente que sabe ir evolucionando con el tiempo... pero por ej en la parte de ransomware aún le falta mucho para poder comprarse con otros profesionales como el nuevo TeslaCrypt 4.b1.

      En el caso de Kovter como bien comentan en el artículo: "almacena la clave de cifrado a nivel local, por lo que es fácil de romper" ósea que se pueden volver a recuperar los archivos cifrados...

      Y tal como se ve en la imagen, al igual que comente con el ransomware CryptoBit estos en lugar de mostrarle al usuario nuevamente la nota de rescate para los archivos cifrados, solo muestra un error común del mismo programa, por lo que es un fail a la hora de conseguir que las victimas paguen.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.