Los expertos en seguridad definitivamente tropezar con más y más puertas traseras y botnets, ya que estamos asistiendo a un aumento de la tasa de infección de ransomware y taps (amenazas persistentes avanzadas).
Curiosamente, recién puertas traseras y las redes de bots detectados pueden no ser del todo nueva. ¿Por qué? Estas amenazas pueden pasar desapercibidos durante meses e incluso años. Si una amenaza se descubre en 2015, no significa necesariamente que la amenaza se ha creado recientemente.
Mejorar su Cyber Educación Seguridad:
Las puertas traseras APT control de un grupo fuerte
Nemesis Bootkit cosechas de datos financieros
¿Por qué debería temer Ponmocop Botnet
Una de las últimas puertas traseras al descubierto ha demostrado ser muy sigiloso. Latentbot apodado, la amenaza persistente ha existido por lo menos desde 2013. Investigadores de FireEye recientemente revelaron que Latentbot ha estado afectando a las víctimas en los Estados Unidos, Reino Unido, Canada, Brasil, Perú, Polonia, Singapur, Corea del Sur, Emiratos Árabes Unidos.
Sus víctimas son principalmente en los sectores financieros y de seguros. Sin embargo, otros sectores se han visto comprometidos, así.
Latentbot capacidades de puerta trasera
Las técnicas de distribución empleadas por el gotero de malware pueden no ser innovador, pero la carga útil del ataque (Latentbot) definitivamente ha captado la atención de los investigadores. No sólo aplicar varias capas de la ofuscación, pero también tiene un mecanismo único exfiltración.
Estas son las capacidades de Latentbot, resumido por el equipo de investigación FireEye:
1. Las múltiples capas de ofuscación
2. cadenas de descifrado en la memoria se eliminan después de ser utilizado
3. Ocultación de aplicaciones en un escritorio diferente
4. MBR capacidad de limpiar
5. similitudes Ransomlock tales como ser capaz de bloquear el escritorio
6. Oculto conexión VNC
7. Diseño modular, lo que permite una fácil actualización de equipos de las víctimas
8. Sigilo: tráfico de devolución de llamada, API, Las claves de registro y cualquier otro indicador se descifran de forma dinámica
9. Gotas del potro de malware como un módulo para actuar como Infostealer
Carga útil Latentbot, Propósito de los ataques
Además de ser sigiloso, Latentbot está diseñado para mantener su código malicioso en la memoria de la máquina durante el tiempo que se necesita. Entonces, Se eliminará el código. Como señalan los investigadores, la mayor parte de los datos codificados se encuentra ya sea en los recursos del programa o en el Registro. También, especifico, algoritmo de cifrado por encargo se comparte entre los diversos componentes. Las comunicaciones de mando y control también están codificadas. Debido a esto, binarios de la familia de Latentbot se detectan con un nombre genérico, por ejemplo. Trojan.generic.
He aquí una lista de algunos de sus detecciones por los vendedores de AV:
- Trojan.Win32.Generic!BT
- Trojan.GenericKD.2778570
- Trojan.Generic.D2A65CA
- Trojan.Generic.D2A65CA
- UnclassifiedMalware
- Trojan.MSIL.Crypt
- Backdoor / Androm.tzz
Proceso de infección de Latentbot
El ataque se activa al abrir un mensaje de spam que contiene archivos adjuntos maliciosos. Una vez que se ejecuta un archivo adjunto tales, el equipo se infecta con un programa de descarga de software malicioso que se reducirá la LuminosityLink RAT (Remote Access Trojan). Una vez que el RAT determina si la máquina en particular cumple los requisitos (por ejemplo. si el PC está en Windows Vista, no será atacado), la carga útil de la operación a.k.a. Latentbot se deja caer. Como un todo, el proceso de instalación de Latentbot es sofisticado, pasando a través de seis etapas diferentes. El propósito principal es ocultar su ingeniería actividades y derivación inversa.
No Latentbot realizar ataques dirigidos?
Según los investigadores, la puerta trasera no está dirigida furtiva, al menos no en las industrias que ha afectado. Sin embargo, es selectiva cuando se trata de los tipos de sistema de Windows para atacar. Latentbot no se ejecutará en Windows Vista o servidor 2008, y utiliza sitios web de riesgo para su infraestructura de comando y control. Por lo tanto, el proceso de infección se hace más fácil, y la detección más difícil.
Latentbot por una razón
Latentbot es, en efecto latente - que ha sido diseñado para actividades maliciosas silenciosos. Sus varias capas de ofuscación y el hecho de que puede eliminar los datos de la memoria del ordenador una vez que no es necesario que sea muy peligroso y sigiloso. Además, Latentbot también puede actuar como una ransomware mediante el bloqueo de escritorio de la víctima y dejando caer la el malware pony en el MBR de la víctima (Master Boot Record).
Para hacer aún más temible Latentbot, que fue diseñado a través de una infraestructura modular, por lo que es capaz de actualizarse automáticamente con nuevas características tales cuando se necesitan.
En conclusión, investigadores FireEye dicen que Latentbot es "bastante ruidoso 'para ser detectado en la memoria con la ayuda de una solución avanzada.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter