• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Backdoor usa la aplicación FFmpeg para espiar a las víctimas

    Backdoor usa la aplicación FFmpeg para espiar a las víctimas Un backdoor de buenas características recientemente observado es capaz de espiar las actividades de su víctima grabando vídeos completos con la ayuda de la aplicación ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.671

      Backdoor usa la aplicación FFmpeg para espiar a las víctimas

      Backdoor usa la aplicación FFmpeg para espiar a las víctimas


      Un backdoor de buenas características recientemente observado es capaz de espiar las actividades de su víctima grabando vídeos completos con la ayuda de la aplicación "FFmpeg", advierte Malwarebytes.

      Detectado como Backdoor.DuBled y escrito en .NET, el malware se distribuye a través de un archivo JS que contiene un ejecutable que se instala aleatoriamente. Para lograr la persistencia, la amenaza utiliza una clave de ejecución, al mismo tiempo que deja una copia de sí mismo en la carpeta de inicio.

      La amenaza descarga las aplicaciones legítimas Rar.exe y ffmpeg.exe , junto con DLLs relacionadas ( DShowNet.dll y DirectX.Capture.dll ) y las usa para sus operaciones nefastas, revelaron los investigadores de seguridad.

      FF mpeg es descrito por sus desarrolladores como una "solución completa, multiplataforma para grabar, convertir y transmitir audio y video".

      Durante la ejecución, el malware crea archivos .tmp sin cifrar dentro de su carpeta de instalación, que contiene pulsaciones de teclas y registro de las aplicaciones en ejecución. También se observó cerrar y eliminar algunas aplicaciones de la máquina comprometida, incluyendo ProcessExplorer y baretail .

      La comunicación con el servidor de comando y control (C & C) se realiza a través de TCP usando el puerto 98. El enlace inicial es realizado por el servidor a través de un comando "idjamel", al cual la amenaza responde con información básica sobre la máquina víctima, como nombre / , Sistema operativo y una lista de procesos en ejecución.

      A continuación, el servidor envía la configuración, que incluye una lista de bancos de destino que el malware guarda en una lista en el registro. El C & C también envía un conjunto de archivos PE encriptados de Base64, incluyendo binarios de ayuda no maliciosos, y una URL para descargar la aplicación FF mpeg (pero el enlace apunta a una página ficticia cuando se accede a ella).

      La muestra analizada se empaquetó con la ayuda de CloudProtector, que descifra la carga útil utilizando un algoritmo personalizado y una clave suministrada en la configuración. El ejecutable descifrado se carga entonces en memoria utilizando el proceso hollowing (o la técnica RunPE).

      "La carga útil desempaquetada es la capa que contiene todas las características maliciosas. No está ofuscado, por lo que podemos descompilarlo fácilmente y leer el código ", explica Malwarebytes.

      La amenaza fue diseñada para espiar a los usuarios en las máquinas infectadas con el backdoor. Puede grabar vídeos usando la aplicación FF mpeg , capturar pantalla instantáneamente y registrar pulsaciones de teclas. El evento de grabación de video se desencadena cuando la víctima accede a un sitio relacionado con la banca en línea, lo que revela claramente el propósito final de los autores de la amenaza: espiar las actividades bancarias de las víctimas.

      Los videos grabados se envían al C & C codificado en Base64, mientras que las capturas de pantalla (guardadas como JPG) y los registros capturados se comprimen periódicamente mediante la aplicación RAR y se envían al servidor.

      El malware también puede enumerar las ventanas abiertas y puede desactivar las aplicaciones anti-malware. Es más, la funcionalidad del bot se puede ampliar con la ayuda de plugins, que se descargan desde el C & C.

      Dos de los plugins que el malware descargó durante el análisis le proporcionaron capacidades típicas para un RAT: processmanager.dl (escrito en 2015) y remotedesktop.dll (escrito en 2016). El último plugin fue ofuscado, aunque el módulo principal del malware y el plugin anterior no lo eran.

      "Este malware está preparado por un actor poco sofisticado. Ni el protocolo binario ni el protocolo de comunicación están bien ofuscados. El empaquetador usado es bien conocido y fácil de romper. Sin embargo, el malware es rico en características y parece mantenerse activamente. Su capacidad de espiar a la víctima e infectar la máquina atacada con un backdoor no debe tomarse a la ligera ", concluye Malwarebytes.

      Fuente: Security Week
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Aguilucho (AC)
      Registrado
      mar 2007
      Ubicación
      Dominicana
      Mensajes
      384

      Re: Backdoor usa la aplicación FFmpeg para espiar a las víctimas

      Gracias por la info Jose!

      Saludos