Aplicaciones Moviles Gratis, Seguridad, Tecnologia, Android, Apple: Troyanos

CyberGate: troyano que graba webcam (entre otras cosas)

<div style="text-align: justify;">
Hace unos días un supuesto hacker (<i>el patético camushackers</i>), 
supuestamente habría robado y tomado vía webcam, supuestas fotos 
comprometedoras de distintas personalidades del espectáculo local, para 
luego postearlas en su cuenta de Twitter. Obviamente luego se probó que 
nada de eso había pasado pero muchos preguntaban como lo habría hecho. 
Esta es una de las formas.<br />
<br />
En esta oportunidad se envía un correo falso con el asunto <i>"En febrero nuestra aerolínea te obsequia dos tickets ida y vuelta a cualquier destino"</i>
 simulando provenir de una conocida aerolínea internacional ofreciendo 
un obsequio espectacular, en el enlace se apunta a un troyano Cybergate 
RAT (Remote Administration Tool). </div>
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3lkdaK3C1To2PQbXuX3-sfMrpmGOu5wtR9CxocUbsYIUUsfdZlq2gi747y7Nq8ZVwDOWFOYFOblwf8c_KRcJVeQsosWS82-uID36szJIJcF12PXlrFh0WoUTAYR8Is4xf8VhRpc339t8/s1600/tw.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3lkdaK3C1To2PQbXuX3-sfMrpmGOu5wtR9CxocUbsYIUUsfdZlq2gi747y7Nq8ZVwDOWFOYFOblwf8c_KRcJVeQsosWS82-uID36szJIJcF12PXlrFh0WoUTAYR8Is4xf8VhRpc339t8/s400/tw.jpg" style="display: inline;" /></a></div>
<br />
Mi amigo <a href="https://twitter.com/rfb_" rel="nofollow" target="_blank">Raul</a> me envió esta muestra por lo que le estoy muy agradecido. El iIndice de detecciones es moderado en VirusTotal (14/50).<br />
<br />
El malwarre contiene una capa de Crypter en Visual Basic y luego el 
ejecutable esta compactado con UPX. Para obtener el Dump BP en <i>IsDebuggerPresent / ZwWriteVirtualMemory / ZwResumeThread</i>. Sin la capa del Crypter el número de detecciones obviamente cambia a 45/50.<br />
<br />
El malware tiene un keylogger, la habilidad de grabar audio del equipo 
infectado, listar archivos del sistema, y... utilizar la webcam de la 
victima:<br />
<code><br />
008B797C   MOV EDX,dump3.008BFFBC                    ASCII "webcaminactive|"<br />
008B7994   MOV EDX,dump3.008BFFD4                    ASCII "webcamdllloaded|"<br />
008B79AC   MOV EDX,dump3.008BFFBC                    ASCII "webcaminactive|"<br />
008B79C4   MOV EDX,dump3.008BFFBC                    ASCII "webcaminactive|"<br />
008B79FD   MOV EDX,dump3.008BFFF0                    ASCII "webcamsettings"<br />
008B7B01   MOV EDX,dump3.008C0008                    ASCII "checkwebcamfile"<br />
</code><br />
<br />
En el análisis dinámico podemos hacer una adquisición de la memoria RAM del sistema con <a href="http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/" rel="nofollow" target="_blank">Dumpit!</a> para luego buscar strings que nos pueden revelar algo mas.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgVquzqVLzJ0x-zD9NlboulkYU-00h-uNG5JM5_LHDN0wbxW2OEJYfnuE4TYdr5IQubmy39Xz4L3hyphenhyphenEDXjlowcJGmw7lVEcLnV3-1QYHhBpFrvNM4i5f9dR-fbZif24t_EBOnJVodKL_oE/s1600/logging.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="176" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgVquzqVLzJ0x-zD9NlboulkYU-00h-uNG5JM5_LHDN0wbxW2OEJYfnuE4TYdr5IQubmy39Xz4L3hyphenhyphenEDXjlowcJGmw7lVEcLnV3-1QYHhBpFrvNM4i5f9dR-fbZif24t_EBOnJVodKL_oE/s400/logging.jpg" style="display: inline;" width="400" /></a></div>
<br />
Por ejemplo aquí podemos ver los datos capturados por el Keylogger antes
 de ser ofuscados y guardados en el archivo de logging del troyano. 
También se observa el uso de NO-IP utilizado para contactar al C&C 
del troyano.<br />
<br />
Fuente: <a href="http://oberheimdmx.blogspot.com.ar/2014/01/cybergate-en-febrero-nuestra-obsequia.html" rel="nofollow" target="_blank">Dkavalanche</a><br />
<div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;">
<br /></div>

Hace unos días un supuesto hacker ( el patético camushackers ), supuestamente habría robado y tomado vía webcam, supuestas fotos comprome...

Hesperbot: un nuevo troyano bancario

<div style="text-align: justify;">
<i>La siguiente publicación es una traducción y adaptación del post "<a href="http://www.welivesecurity.com/2013/09/04/hesperbot-a-new-advanced-banking-trojan-in-the-wild/" rel="nofollow" target="_blank">Hesperbot – A new, Advanced Banking Trojan in the wild</a>" escrito por Robert Lipovsky y publicado en We Live Security.</i><br />
<br />
Recientemente, se descubrió un troyano bancario que afecta a usuarios  
que utilizan los servicios de banca en línea. Este troyano afectó a  
usuarios de<b> Turquía, República Checa, Portugal y el Reino Unido</b>. Asimismo, utiliza una campaña de <i>phishing</i>
  que son muy realistas, tomando como objetivo del mismo a sitios de  
organizaciones de gran reputación para incrementar la tasa de éxito del 
 código malicioso.</div>
<div style="text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEghYzJx1POQHhjOL8GGX3D4JW88xlB09X6zeUQI31WBJLks2CFBioxtZuR3PM18Y7HAwWh60Zkh-cDJSZNxtlxGxJVekrRANaW7SnkoAYJm-Z44aXFEYkeN8SqUcre6Nm2z90qGWlbbL_d3/s1600/Aparece_el_Hesperbot.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="270" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEghYzJx1POQHhjOL8GGX3D4JW88xlB09X6zeUQI31WBJLks2CFBioxtZuR3PM18Y7HAwWh60Zkh-cDJSZNxtlxGxJVekrRANaW7SnkoAYJm-Z44aXFEYkeN8SqUcre6Nm2z90qGWlbbL_d3/s400/Aparece_el_Hesperbot.jpg" width="400" /></a></div>
<div style="text-align: justify;">
<br />
<br />
ESET ha realizado una investigación sobre<b> Win32/Spy.Hesperbot</b>. Pueden consultar las publicaciones sobre nuestros colegas de Norte América tituladas <a href="http://www.welivesecurity.com/2013/09/06/hesperbot-technical-analysis-part-12/" rel="nofollow" target="_blank">Hesperbot Technical Analysis Part 1/2</a> y <a href="http://www.welivesecurity.com/2013/09/09/hesperbot-technical-analysis-part-22/">Hesperbot Technical Analysis Part 2/2</a>. Asimismo, también ponemos a disposición el <a href="http://www.welivesecurity.com/wp-content/uploads/2013/09/Hesperbot_Whitepaper.pdf"><i>whitepaper</i></a> para su descarga.<br />
<br />
A mediados del mes de Agosto, descubrimos una campaña de propagación de 
malware en República Checa. En un principio, esta campaña llamó nuestra 
atención debido a que el malware se encontraba alojado un sitio que 
supuestamente pertenecía al servicio postal checo.<br />
<br />
El análisis de la amenaza reveló que se trataba de un troyano bancario 
con características y objetivos similares a los ya conocidos <a href="http://securitymovil.com/search/?q=zeus" rel="nofollow" target="_blank">Zeus</a> y <a href="http://securitymovil.com/search/?q=spyeye" rel="nofollow" target="_blank">SpyEye</a>, pero con diferencias a nivel de implementación que sugieren que pertenece a una nueva familia de códigos maliciosos.<br />
<br />
Hesperbot es un troyano bancario muy potente que incluye características
 tales como funcionalidades de keylogging, captura de pantalla y video, 
posibilidad de establecimiento de un proxy remoto. Además, incluye 
algunas funcionalidades avanzadas, entre las que se incluye la 
posibilidad de establecer un servidor VNC remoto en el sistema infectado
 y la capacidad de interceptar el tráfico de red sobre el sistema de la 
víctima incluyendo la capacidad de inserción de código HTML.<br />
<br />
Cuando se realizaron comparaciones entre la muestra obtenida del sitio 
en República Checa y nuestros archivos, notamos que ya habíamos 
detectado genéricamente variantes previas como Win32/Agent.UXO las 
cuales no solo afectaban a usuarios de República Checa. Instituciones 
bancarias de Turquía y Portugal también fueron afectadas.<br />
<br />
El objetivo de los atacantes es robar las credenciales bancarias de 
acceso de las potenciales víctimas y lograr que instalen componentes del
 malware en sus teléfonos con plataformas Symbian, Blackberry o Android.<br />
<br />
<a href="http://blogs.eset-la.com/laboratorio/2013/09/10/hesperbot-un-nuevo-troyano-bancario-avanzado/" rel="nofollow" target="_blank">Contenido completo en fuente original ESET I</a> y <a href="http://blogs.eset-la.com/laboratorio/2013/09/12/analizando-complejidad-hesperbot/" rel="nofollow" target="_blank">II</a></div>
<div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;">
<br /></div>

La siguiente publicación es una traducción y adaptación del post " Hesperbot – A new, Advanced Banking Trojan in the wild " escri...

Filtrado el código fuente del troyano Carberp

<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg612VJGft4ofA1k5Rnbtwy2joa8F_NFyZercDASkuPrCqmmJzY85gkF9_Pw00mhglezmz7U8qvlKMxTnJkddBSF15H10wqN7sLOUUcile72HZrl_b4OFjYidKZYplsHDzA-7-IxWBUpa0Y/s1600/trojan.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="280" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg612VJGft4ofA1k5Rnbtwy2joa8F_NFyZercDASkuPrCqmmJzY85gkF9_Pw00mhglezmz7U8qvlKMxTnJkddBSF15H10wqN7sLOUUcile72HZrl_b4OFjYidKZYplsHDzA-7-IxWBUpa0Y/s1600/trojan.jpg" width="400" /></a></div>
<br />
<br />
El código fuente del troyano Carberp, que <a href="https://threatpost.com/carberp-banking-trojan-goes-commercial-adds-bootkit-and-40k-price-tag-121412/">normalmente se vende por U$S40.000 en mercado negro</a>, <a href="http://threatpost.com/carberp-source-code-leaked/">se ha filtrado y ya está disponible en Internet</a>. La filtración se parece a la liberación del código fuente de crimeware <a href="http://blog.segu-info.com.ar/search/?q=zeus">Zeus</a> hace un par de años.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.csis.dk/images/1.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="400" src="https://www.csis.dk/images/1.png" style="display: inline;" width="330" /></a></div>
<br />
<div style="text-align: justify;">
El <a href="https://www.csis.dk/en/csis/news/3961/">código fuente Carberp apareció en línea la semana pasada</a>,
 pero el archivo comprimido que contiene el código fuente estaba 
protegido por contraseña. Hoy la contraseña finalmente también se 
publicó. DCarberp era un kit de crimeware privado utilizado mayormente 
en Rusia. Varios miembros de la supuesta organización <a href="https://threatpost.com/carberp-it-s-not-over-yet-032712/">fueron detenidos en Rusia en 2012</a> y unos meses más tarde una versión comercial del troyano Carberp apareció en el mercado, con un precio de 40.000 dólares.<br />
<br />
Ese precio alto controló de alguna manera que el código estuviera 
disponible para cualquiera pero ahora que el código fuente está 
disponible libremente, dará capacidad a los atacantes para robar grandes
 cantidades de datos sensibles de los usuarios infectados. Cuenta con un
 conjunto de plugins que sirven para deshabilitar aplicaciones 
antimalware y también es capaz de encontrar y matar a otras piezas de 
malware en la máquina. Las nuevas versiones del troyano Carberp también 
incluyen un bootkit, un conjunto de funciones que infectan PCs en el 
nivel más bajo y mantener la persistencia.<br />
<br />
Al igual que con la fuga del código fuente de ZeuS, en mayo de 2011, 
esto significa que los delincuentes tienen todas las posibilidades de 
modificar e incluso añadir nuevas características al troyano. Sin dudas 
las liberación del código no es una buena noticia para los consumidores 
porque pondrá al crimeware en manos de un grupo mucho mayor de 
atacantes, poniendo en riesgo a más usuarios. Sin embargo, también 
permite a los investigadores de seguridad dar una mirada profunda al 
malware y su funcionamiento interno.</div>
<div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: justify; text-decoration: none;">
</div>
<div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: justify; text-decoration: none;">
<a href="http://www.segu-info.com.ar/" style="color: #003399;" target="_blank">Segu-Info</a></div>

El código fuente del troyano Carberp, que normalmente se vende por U$S40.000 en mercado negro , se ha filtrado y ya está disponible en I...

Virus suplantan identidad para estafar internautas

Después de haberse desmantelado una de las mayores redes de ransomware del mundo el pasado mes de febrero,
 una red que funcionaba a través del denominado “Virus de la Policía”, 
los agentes españoles advierten de dos nuevas oleadas de virus que 
suplantan la identidad de la <strong>Policía Nacional</strong> para estafar a usuarios de Internet.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgdzOiKafq2IpZqCuohuB2iGGAx7sgNpoX7WZPHHEUSWz0k0FfChGVt_4riuYuGl_pS0v1KDaXb0aC7bYC-RiGBdhGrJtVBIHvX_etyu_cSvPAagnslaEWqTc_O4ygnPxOhTAtnVkuMVgs4/s1600/virus1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgdzOiKafq2IpZqCuohuB2iGGAx7sgNpoX7WZPHHEUSWz0k0FfChGVt_4riuYuGl_pS0v1KDaXb0aC7bYC-RiGBdhGrJtVBIHvX_etyu_cSvPAagnslaEWqTc_O4ygnPxOhTAtnVkuMVgs4/s1600/virus1.jpg" width="400" /></a></div>
<br />
<br />
<div style="text-align: justify;">
<strong>La primera de ellas se difunde a través de spam y es una versión renovada del fraude de la falsa notificación</strong>, llamado así porque<strong> simula una citación de la Audiencia</strong> a través de la cuenta de correo electrónico policia@policia.es.
</div>
<div style="text-align: justify;">
En estos mensajes de phishing se indica que el destinatario debe 
comparecer por “un asunto de interés” y se le insta a abrir un archivo 
adjunto. Al hacerlo, este documento<strong> instala un keylogger diseñado para recabar información financiera </strong>de
 la víctima. Y es que  dicho keylogger detecta la visita a páginas de 
entidades bancarias, capturando las credenciales introducidas en el 
teclado.</div>
<div style="text-align: justify;">
“Si se recibe este correo electrónico lo mejor es borrar directamente
 el mensaje y en ningún caso abrir el archivo”, comentan la Policía en un comunicado.
 “Si se ha hecho click en el enlace, debería verificarse que no se haya 
instalado nada en el ordenador (el link no siempre ha estado 
operativo)”.</div>
<div style="text-align: justify;">
Por supuesto, también es recomendable analizar la salud del equipo con un programa antivirus actualizado.</div>
<div style="text-align: justify;">
<strong>En cuanto a la segunda campaña</strong>, los ciberdelincuentes utilizan software malicioso capaz de bloquear el ordenador para mostrar a continuación <strong>una pantalla con un supuesto texto firmado por la Policía y la SGAE</strong>. En él se a<strong>cusa al usuario de haber realizado descargas ilegales de música o haber accedido a páginas de pornografía infantil</strong>, requiriendo el pago de una multa de 100 euros para restaurar el sistema.</div>
<div style="text-align: justify;">
También informa de las consecuencias penales de ambas actividades y 
de la necesidad de pagar la sanción para seguir utilizando el PC y 
evitar multas más graves.</div>
<div style="text-align: justify;">
En este caso, <strong>la Policía recuerda que nunca solicita el pago 
de multas vía email, del mismo modo que tampoco notifica comparecencias 
por este medio</strong>, y aconseja no acceder a enlaces acortados de procedencia desconocida ni navegar por webs poco fiables.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<a href="http://siliconweeks/" target="_blank">via</a> </div>
<div style="text-align: justify;">
<br /></div>

Después de haberse desmantelado una de las mayores redes de ransomware del mundo el pasado mes de febrero, una red que funcionaba a través ...

Bitdefender para Android

<div style="text-align: justify;">
Otro de los grandes antivirus para PC de escritorio acaba de llegar a Google PLAY. Estamos hablando de <strong>Bitdefender</strong>, una excelente suite de seguridad que seguramente se sumará a nuestra lista de mejores antivirus para Android junto a Avast!, AVG y Kaspersky.</div>
<div style="text-align: justify;">
De hecho la versión de <strong>Bitdefender para Android</strong> 
acaba de recibir la puntuación máxima de PC Security Labs, una empresa 
independiente que se dedica al testeo de antivirus y tecnologías de 
seguridad. Ademas, según sus desarrolladores, este antivirus es capaz de
 detectar el 99.8% de malware y avisarte en caso de que alguna 
aplicación quiera realizar una descarga en segundo plano.</div>
<div style="text-align: justify;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqE7eWh7XIXx4-JyAeYjaG7zvkwOBlKq_uG0qoPvgw3R-_AdXCH112zGt9M2u5938iTZ55awzavjNdjpnQDbQn3o8d6OqH9F8EHsjfyX5_3Y3L6xiJDIBy-pCqykzkQo-t2qDUTnDfmgaF/s1600/Bitdefender-Android.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="195" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqE7eWh7XIXx4-JyAeYjaG7zvkwOBlKq_uG0qoPvgw3R-_AdXCH112zGt9M2u5938iTZ55awzavjNdjpnQDbQn3o8d6OqH9F8EHsjfyX5_3Y3L6xiJDIBy-pCqykzkQo-t2qDUTnDfmgaF/s1600/Bitdefender-Android.jpg" width="400" /></a></div>
<div style="text-align: justify;">
<br /></div>
<h3 style="text-align: justify;">
Bitdefender, módulos a tu gusto</h3>
<div style="text-align: justify;">
Lo interesante y tal vez molesto de este antivirus para Android es 
que se encuentra completamente dividido en módulos, lo que te da la 
capacidad de instalar en tu dispositivo solo las funciones necesarias y 
hacerlo mucho más ligero que otras opciones.</div>
<div style="text-align: justify;">
Entre las funciones nativas se encuentra el escaneo de aplicaciones 
para encontrar Malware y troyanos, el análisis antes antes de la 
instalación y la vista de los permisos que estas utilizan.</div>
<div style="text-align: justify;">
Y entre sus modulos contamos con uno que nos permite realizar el 
seguimiento de terminal en caso de robo o perdida, el bloqueo a 
distancia, el envio de alertas de sonido y el formateo a distancia.</div>

Otro de los grandes antivirus para PC de escritorio acaba de llegar a Google PLAY. Estamos hablando de Bitdefender , una excelente suite de...