• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    El ransomware DetoxCrypt se hace pasar por Malwarebytes

    El ransomware DetoxCrypt se hace pasar por Malwarebytes Camuflar las amenazas en forma de software legítimo es algo muy habitual, sobre todo si nos centramos en el sistema operativo Android. Los expertos en seguridad de ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      El ransomware DetoxCrypt se hace pasar por Malwarebytes

      El ransomware DetoxCrypt se hace pasar por Malwarebytes

      Camuflar las amenazas en forma de software legítimo es algo muy habitual, sobre todo si nos centramos en el sistema operativo Android. Los expertos en seguridad de la empresa desarrolladora de softwares de seguridad Malwarebytes han detectado que el ransomware DetoxCrypt se hace pasar por una de sus herramientas para así infectar los equipos de forma satisfactoria.

      Sin embargo, hay que decir que o bien por accidente o por pura pereza por parte del ciberdelincuente la imitación no es exacta, encontrándonos de entrada con un ejecutable que se llama Malwerbyte, distando mucho del nombre original que posee la herramienta.

      Los expertos de esta empresa han aportado algunos datos relacionados con esta. Por el momento hay que decir que todo parece indicar que nos encontramos ante una beta, ya que carece de funciones, o al menos a nivel de cifrado de la información. La amenaza se instala en el equipo y solo permanece en ejecución, sin llevar a cabo la recopilación de información ni ningún tipo de información, lo que ha desconcertado a los expertos en seguridad. Estos creen que es probable que pronto se publique una versión completa y que esta solo servía para tantear un poco el terreno, y sobre todo, cómo reaccionaba la amenaza ante herramientas de seguridad.

      DetoxCrypt y las posibles pistas

      Que sea una beta no quiere decir que no aporte información valida. Camuflar amenazas en aplicaciones legítimas es algo que está de moda si hablamos de dispositivos móviles, algo que también se ha aplicado con anterioridad a sistemas de escritorio pero que parece haber quedado en el olvido, o al menos hasta este momento.

      Esto nos puede servir como indicativo de cuál puede ser el camino a tomar por los ciberdelincuentes para distribuir las amenazas a partir de ahora. Hay que tener en cuenta que el correo electrónico y el envío de estos mensajes con un archivo adjunto está demasiado explotado y muchos usuarios son conscientes de qué es lo que no deben hacer.

      Fuente: RedesZone
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Habitual Avatar de aprenderás
      Registrado
      sep 2014
      Ubicación
      argentina
      Mensajes
      2.255

      Re: El ransomware DetoxCrypt se hace pasar por Malwarebytes

      Y era lo que le faltaba a Malwarebytes... ya le han robado la base de datos varias veces. Le han copiado el aspecto... y faltaba el robo de identidad. Estos chicos del ramsonware traban muy duro.

    3. #3
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: El ransomware DetoxCrypt se hace pasar por Malwarebytes

      En realidad, no es nada nueva su metodología, ni tampoco impresiono mucho, sino más bien lo que más llamo la atención es el aparente error en el nombre del archivo imitador que llamaron Malwerbyte.exe en lugar de directamente Malwarebytes.exe


      Me toco ser uno de los primeros en analizar en esta cepa del ransomware DetoxCrypt, que como el resto de su familia se distribuye dentro de troyanos del tipo dropper (en este caso era uno llamado Skype.exe) que, si el usuario ejecuta, este se encarga de dejar caer en este caso el archivo Malwerbyte.exe que sería el ransomware en sí, aunque también en este caso (por varios errores en su código) solo abrían una pantalla negra, pero no cifraba ningún archivo.

      La familia de ransomware DetoxCrypt también son parte del sistema RaaS (ransomware as a service) por lo que les permite a los creadores de malware comprar su código, hacerle las modificaciones a su gusto y liberarlo. Este es de los mismo que hace unas semanas atrás vimos que agregaba un fondo de pantalla de picachu de podemos

      En definitiva, como decía, utilizar el nombre de un programa o herramienta conocida es una práctica muy común dentro del ecosistema del malware y a las pocas horas vimos una cepa del ransomware Locky que utilizaba el nombre de HitmanPro.exe





      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.