El InnfiRAT malware es una amenaza recién descubierto, que incluye un módulo de robo criptomoneda sofisticada. Está escrito utilizando el marco .NET y se dirige a las máquinas de Windows, en particular.
Los titulares criptomoneda bajo el ataque del malware InnfiRAT
Los investigadores de seguridad han descubierto una nueva campaña de ataque llevando una amenaza llamada el malware InnfiRAT. Está siendo distribuido por un colectivo desconocido piratería, dado el hecho de que las infiltraciones se han valorado como avanzado anticipamos que tienen mucha experiencia. El software malicioso se puede transmitir a través de numerosos métodos como la siguiente:
- Las estrategias de phishing - Los delincuentes pueden enviar mensajes de correo electrónico y organizar los sitios web que se hacen pasar por los servicios web y empresas. Siempre que se relacionaban con ellos el malware respectiva se desplegará.
- Los portadores de carga útil - El código de instalación virus puede ser colocado en los instaladores de aplicaciones o documentos (como secuencias de comandos). Otro ejemplo es la creación de plugins para los navegadores web más populares.
En una de las muestras capturadas los analistas han identificado que el código malicioso se encuentra en una archivo de configuración del controlador de NVIDIA falsa. Cuando se ejecuta se ejecutará la secuencia relevante. Se comienza con una comprobación del archivo que busca si es o no la aplicación de software malicioso se ejecuta desde un lugar previamente designado. Será utilizado para infiltrarse en el sistema y desplegarlos en ubicaciones del sistema para que sea más difícil de detectar. Después de que el archivo se encuentra en su respectiva ubicación en la que va a decodificar el motor principal y ponerlo en marcha. Lo que es particularmente interesante de esto es que es encriptada.
Al inicio del despliegue virus de uno de los primeros pasos que hace es el lanzamiento de una omitir la seguridad de. Se comenzará a analizar los contenidos de la memoria y el disco duro y averiguar si hay aplicaciones o servicios de seguridad en ejecución que pueden bloquear la infección por virus de la adecuada: hosts de máquina virtual, entornos sandbox, programas anti-virus, cortafuegos y sistemas de detección de intrusos.
Si no se encuentra ninguno de estos en un sistema dado la infección seguirá. El siguiente paso en el proceso de infección es la recopilación de información - se va a extraer una larga lista de información de la máquina y los datos de usuario. La lista de información de hardware que se adquiere es el siguiente:
fabricante del dispositivo, subtítulo, nombre, información de identidad procesador, numero de nucleos, L2 tamaño de la caché, L3 tamaño de caché y designación del zócalo.
En adición de los datos sobre el estado de la red y la información de geolocalización también está secuestrado: la dirección IP del sistema host, así como la ciudad, región, país, código postal. Si el equipo es parte de una organización o empresa que también se mostrará. El siguiente paso será iniciar una módulo de Troya que establecerá una conexión segura a un servidor pirata informático controlado y permitir que los controladores criminales secuestran a sus máquinas.
Operaciones de Troya malware InnfiRAT
Las operaciones de Troya incluyen la capacidad para inyectar en los navegadores web más populares y secuestrar sus operaciones, así como los mata:
- Google Chrome
- navegador genérica
- Mozilla Firefox
- Ópera
- amigo
- cometa
- Antorcha
- Orbitum
Las operaciones de Troya permiten a los atacantes remotos para espiar a las víctimas, en tiempo real y matan a las ventanas del navegador. El robo de las cookies del navegador y la historia permite a los criminales para comprobar si los usuarios de computadoras utilizan criptomoneda en modo alguno: almacenar, transferencia y otras actividades.
También puede comprobar la memoria de todos los procesos en ejecución y crear nuevas carpetas en las aplicaciones respectivas. Las aplicaciones van a crear carteras en ellos y establecerlos como predeterminados. Esto significa que las operaciones que se realizan por los usuarios serán generalmente afectarles. Toda la interacción del usuario también puede ser redirigido a esta cartera. Como consecuencia las víctimas no serán conscientes de que cualquier transferencia de dinero dirigidos a ellos serán entregados a los piratas informáticos.