El software malicioso L0rdix es una herramienta de hacking recién detectado que se está ofreciendo en los mercados subterráneos de piratas informáticos que permiten a los posibles compradores lo utilizan en las campañas de ataque contra las computadoras de Windows. Permite a los piratas informáticos y los grupos individuales de uso de varias maneras ya que cuenta con muchos módulos. En el momento en uno de los lugares que está siendo ofrecido por alrededor 60 Dólares estadounidenses.
Cualquier persona puede convertirse en un objetivo de la L0rdix malware
Información sobre L0rdix fue publicado por Ben Hunter en una reporte de seguridad dar más detalles sobre su comportamiento. El software malicioso está diseñado para infectar las máquinas Windows y actualmente se ofrece a los compradores potenciales en varios mercados subterráneos. Lo que lo diferencia de otros programas maliciosos similares es que combina diversas informaciones y datos Capabilidades junto con los módulos de minería criptomoneda.
Se combina en sí misma un enfoque infección botnet híbrido - máquinas comprometidas pueden intentar infiltrarse en otras máquinas de una manera automatizada. Tan pronto como se hace como la infección de la amenaza puede poner en marcha una mecanismo anti-detección. Esta acción se comprobará si hay cualquier máquina virtual activo, ambientes o otras herramientas de análisis de software malicioso. Sus motores se desactivarán que contrarrestar cualquier análisis o detección por ellos. Las versiones actualizadas pueden utilizar este enfoque para eludir el software de seguridad, tales como productos anti-virus, firewalls y etc..
Una vez que la derivación ha sido completo el motor se pondrá en contacto un servidor pre-configurado y descargar las últimas actualizaciones y archivos de configuración. En este punto, los operadores de hackers tendrán la capacidad de desplegar todos los módulos disponibles de acuerdo a su propia estrategia. Todas las máquinas infectadas se cosecharon para un grupo de datos que se utiliza para generar una identificación única máquina. También se envía al servidor principal, así. La información se envía junto capturas de pantalla del uso de la computadora. Las muestras recogidas en la campaña detectado se han encontrado para secuestrar los siguientes datos:
- Componentes de hardware de Información - Este subconjunto de información recolecta información sobre las unidades de disco duro, nombres y las especificaciones del modelo de procesador y la tarjeta gráfica y la memoria instalada. También se incluye información sobre el desempeño, esto se hace mediante la ejecución de una prueba de rendimiento y verificación de los resultados.
- Información del sistema operativo - Los datos recogidos se relaciona con los privilegios del usuario, condiciones del sistema operativo y los privilegios del usuario.
- Las solicitudes de datos - Los datos de las aplicaciones y los servicios instalados de terceros se recupera. Esto incluye la presencia de productos anti-virus.
- Navegador Web Data - Si se encuentra uno de los navegadores web compatibles que matará a sus procesos y extraer datos sensibles, incluyendo cookies guardadas, las preferencias y las cuentas guardadas.
Se especula que las métricas de rendimiento son secuestrados con el fin de optimizar la entrega de una La minera criptomoneda que es uno de los efectos comunes de la infección. No sólo se inicia una infección minero, pero cualquier archivos de la cartera serán identificados secuestraron así.
Capacidades L0rdix malware después de la infección
El análisis muestra que una vez que la infección ha sido capaz de penetrar la seguridad de un único ordenador se procederá a infectar automáticamente otros anfitriones por infectar dispositivos de almacenamiento extraíbles. Las versiones actualizadas se utilice un enfoque aún más peligroso al interactuar con el administrador de red de Windows y mirando hacia fuera para recursos compartidos accesibles. Lo que sigue es una instalación persistente lo cual hace que sea muy difícil para las infecciones activas que deben identificarse y eliminarse utilizando métodos manuales. El motor buscará automáticamente los archivos de configuración local y editarlos en una forma de iniciar automáticamente cuando el ordenador está encendido.
La contratación botnet tiene lugar después del despliegue del virus que es particularmente preocupante ya que permite a los piratas informáticos a semiautomática crear una gran red de dispositivos infectados. Tales construcciones son particularmente útiles para llevar a cabo ataques DDoS complejos que pueden sacar compañías enteras.
Debido al hecho de que las muestras de malware L0rdix identificadas están asociadas con una sola campaña de ataque suponemos que los ataques futuros van a utilizar más módulos y escenarios de ataque.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: