Casa > Ciber Noticias > Malware EngineBox utilizado en ataques a instituciones financieras
CYBER NOTICIAS

EngineBox malware utiliza en ataques a las instituciones financieras

Los investigadores de seguridad descubrieron que una serie de ataques en curso utilizando el software malicioso EngineBox se dirigen las instituciones financieras en Brasil. Los piratas informáticos utilizan mensajes de spam maliciosos para engañar a las compañías a infectar a sus anfitriones con la amenaza peligrosa.

EngineBox imagen de malware

Artículo relacionado: Las redes internas Afectados Por propaga por sí mismo Emotet de Troya

Cómo EngineBox malware infecta a sus víctimas

El software malicioso infecta principalmente a través de Enginebox mensajes de correo electrónico que utilizan trucos de ingeniería social. La llamada “correos electrónicos de phishing” esquema implica la coordinación de los mensajes basados ​​en plantillas que se envían a los empleados de las instituciones financieras. Si interactúan con los enlaces incrustados o archivos adjuntos se activa un script que descarga la instancia virus a su ordenador local.

Los analistas descubrieron que en el caso de programas maliciosos Enginebox esto se hace usando un script VBS que descarga otro script desde un sitio pirata informático controlado. Esto pone en marcha un conjunto predefinido de comandos que conducen a la infección real. Esta varios pasos ruta de infección a largo está diseñado para confundir las soluciones anti-virus en el caso de que empiecen a rastrear los scripts. El uso de este ataque de tipo de rebote ciertos motores de análisis pueden ser anuladas.

Los piratas informáticos intentan elevar los privilegios del archivo descargado mediante el uso de un exploit conocido como MS16-032 que trabaja con prácticamente todas las versiones modernas del sistema operativo Microsoft Windows. Los criminales usan este viejo problema de seguridad que utiliza un error en la forma en que el servicio de inicio de sesión secundario maneja las solicitudes.

Capacidades EngineBox malware

Los analistas de seguridad cibernética que pusieron al descubierto el malware EngineBox han sido capaces de hacer una investigación en profundidad sobre el flujo de la infección de la amenaza. Se ha encontrado que se encapsula en varias capas cifrados. Esto significa que la mayoría de las soluciones anti-virus puede no ser capaz de identificar las infecciones entrantes o activas. Una vez que las víctimas descarga el archivo binario para su ordenador se inicia el motor de virus.

Por el momento el hacker o colectiva criminal detrás de ella se dirige a las instituciones financieras más grandes de Brasil, que incluye tanto los bancos públicos y privados. No se dispone de información sobre la identidad del desarrollador o piratas informáticos que están utilizando. Es posible que el malware ha sido desarrollado por ellos desde cero.

Como resultado de la infección por el malware Enginebox es capaz de infectar los ordenadores con una serie de módulos de virus. Uno de los principales componentes de la amenaza es su función de navegador secuestrador. Esta parte del código está diseñado para infiltrarse en los navegadores web más populares, Incluido: Mozilla Firefox, Safari, Internet Explorer, Google Chrome, Microsoft Edge u Opera. Esto se hace con el fin de redirigir a los usuarios a una dirección definida por el pirata informático. Por lo general, los ajustes importantes se cambian con el fin de reflejar este cambio: la página de inicio por defecto, nueva página pestañas o motor de búsqueda.

Los criminales detrás de los componentes secuestrador ellos han ideado una manera que extraer eficazmente la información privada. La lista incluye las cookies almacenadas, marcadores, historia, ajustes, contraseñas, datos de formularios y credenciales de la cuenta. Todo esto se transmite a los piratas informáticos a través de una conexión segura.

El software malicioso Enginebox también es capaz de infiltrarse en otros programas de cliente, como clientes FTP y software de escritorio remoto. A medida que el virus se dirige a las redes corporativas, es muy probable que los delincuentes pueden obtener las credenciales a la infraestructura crítica y bases de datos.

Una vez que las infecciones se han realizado en los equipos de destino el motor de malware establece una conexión de red con los piratas informáticos para informarles de la infiltración exitosa. se realizan las siguientes actividades:

  • La cosecha de malware información sensible del sistema EngineBox. Esto incluye componentes de hardware, información sobre el software y la lista de procesos en ejecución. Dependiendo de la configuración de los casos el virus puede detener ciertos programas, cambiar la configuración de Windows o disfrutar en otras acciones relacionadas.
  • Modificación de los ajustes esenciales puede hacerse a través del registro de Windows, comandos predefinidos u otros medios.
  • EngineBox se ha encontrado para instituir una instancia de puerta trasera que permite a los hackers tomar el control de los ordenadores. Cuando esto se hace a los criminales tienen una opción siempre activa de espiar a las actividades de los usuarios. Pueden utilizar un keylogger para robar contraseñas de todo tipo de servicios web - de los correos electrónicos a la banca en línea.
  • Enginebox malware puede ser utilizado para introducirse en otros equipos de la red utilizando el mismo código no modificable explotar.
  • Los piratas informáticos detrás de las máquinas infectadas para instituir programas maliciosos en ellos.
Artículo relacionado: El hombre invisible Android troyano dirigido a los usuarios de aplicaciones de banca

Los ataques de malware EngineBox bancarios

Una de las características asociadas con este virus es que es capaz de recoger de manera efectiva las credenciales de los servicios bancarios en línea. Esto se realiza mediante la utilización de varios métodos. Uno de ellos se basa en la capacidad de supervisar las acciones víctima asociados a una lista predefinida de sitios. Cada vez que un sitio de la lista se accede al virus comienza activamente a buscar patrones relacionados con el usuario y contraseña combinaciones.

Las muestras descubiertas son capaces de configurar un servidor proxy local que redirige todo el tráfico a un hacker de C-controlado&C sitio. Varias de las muestras recogidas escaparate que el malware se controla a través de un canal de IRC. Esto proporciona una forma muy flexible para los operadores criminales para instruir a las máquinas y recibir los datos.

Tal comportamiento permite a los operadores penales para alquilar las máquinas infectadas o almacenar grandes bases de datos de información. Los expertos valoran el ataque tan grave como los virus son para las empresas y los usuarios finales no regulares. El software malicioso EngineBox está hecho de tal manera que no pasa por los sistemas de seguridad. Esto lo convierte en un arma muy eficaz en las manos de un colectivo penal.

Los usuarios de ordenadores pueden protegerse de posibles intrusiones y eliminar las infecciones activas mediante el empleo de una solución de calidad anti-spyware.

Descargar

Herramienta de eliminación de software malintencionado


Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo