Casa > Ciber Noticias > Cuidado! 2018 “Destructor Olímpico” Gusano y Es hackers siguen activos
CYBER NOTICIAS

Tener cuidado! 2018 “Destructor Olímpico” Gusano y Es hackers siguen activos

Noticias han roto recientemente que el mismo grupo de hackers que han sido detectados para difundir el software malicioso, conocido como “Destructor Olímpico” de estar todavía activo y dirigidas a diferentes instalaciones de prevención de amenazas de toda Europa y facilidades financieras en Rusia.

El malware ha ganado popularidad por primera vez durante los Juegos Olímpicos de Invierno celebrados en Pyeongchang, Corea del Sur. En aquel momento, se estableció rápidamente que el código malicioso es parte de un ataque de sabotaje cibernético que está extendiendo un gusano destructivo y que probablemente se dirija a las redes de las organizaciones para llevar a cabo el reconocimiento y también la autorreplicación mientras permanece sin ser detectado. Los expertos en seguridad han informado de que el malware a ser parte de una operación muy bien organizado. Sin embargo, a pesar de que se organizó el hack, los atacantes detrás de este malware han cometido algunos errores bastante graves que ayudaron a los usuarios detectar y también demostrar la evidencia de la corte.




La meta Actividad y Fin de Destructor Olímpico

El objetivo del Destructor Olímpico era entrar en las organizaciones y buscar firmas digitales y forjar estas firmas con el fin de hacer que parezca como si el malware ha sido hecha por Lazarus APT, una entidad de la piratería, creído t ser de Corea del Norte. Sin embargo, los investigadores de seguridad rápidamente llegaron a la conclusión de que el malware no puede haber sido hecha por Lázaro en todo. Además de esto, el malware ha sido relacionado con varios hackers chinos, ya que tiene código de diferentes actores de amenaza, como los que algunas personas que estaban detrás BadRabbit y el famoso ransomware civil virus.

Además, los investigadores han llegado a la conclusión de que el procedimiento de la infección de la nueva variante del Destructor Olímpico se ha hecho para ser más sofisticados que antes, pero en términos de métodos de infección, se ha optimizado y simplificado por los atacantes. Ahora se está utilizando las siguientes tecnologías para infectar los sistemas y auto-propagan:

  • código VBA.
  • Potencia Shell.
  • MS HTA.
  • JavaScript.
  • Potencia Shell.

Un archivo de infección reciente particular de acuerdo con los informes de los investigadores de malware era un documento de Microsoft Word, llamada CONVERGENCE.doc spiez, que de hecho, contiene macros maliciosas. Estas macros infectan a las víctimas una vez que aceptan la edición de contenidos después de abrir los documentos. Además de esto, los investigadores también informan de que las macros mismos estaban muy ofuscado, lo que significa que no pueden ser fácilmente detectados. Aquí es cómo funciona un tipo de proceso de infección:

Una vez que la víctima desencadena las macros, ejecutan un comando en Powrshell. Este comando también se oculta y el sistema infectado no muestra indicios de estar infectados. Una vez que se ha inyectado el guión, se ejecuta un nuevo script de PowerShell. Después de esto se produce un así llamado “reordenación basados ​​en matriz”, que muta el código original y oculta todos los comandos que se está ejecutando para proteger el hacker. Por ejemplo, una cosa que puede ocultar es la dirección IP del hacker, o más específicamente la del servidor de comando y control.

Después de esto se hace, el malware utiliza una puerta trasera para tomar el control del ordenador de la víctima como parte de una se completó la fase 1 de la infección. Entonces, que es la segunda etapa es para ejecutar una Escenario 2 el malware infección que se extiende aún más grande PoweShell alforja que descarga otro archivo de carga útil. tis archivo se conoce como Powershell imperio y es un proyecto de código abierto, escrito en el lenguaje Python y el lenguaje Powershell. Permite que el hacker para controlar de forma remota las computadoras comprometidas sin ningún tipo de archivos que se encuentran en los equipos infectados. Lo que es interesante es que los investigadores afirman que este tipo de técnicas que son archivos de menos piratería se utilizan a menudo por las compañías de pluma-prueba con el fin de proporcionar la piratería para la prueba de la fuerza de una empresa determinada. En realidad, la herramienta se utiliza con eficacia con el propósito principal de robo de información.




Lo que debe hacerse?

Según los investigadores, es muy importante para garantizar la totalidad de los puertos en las redes y aprender cómo proteger eficazmente su organización a partir de phishing y campañas de correo electrónico malintencionados, ya que estos tipos de infecciones parasitarias no sólo puede ser sin archivo, pero también pueden extenderse de forma automática una vez que la primera infección en la red de la organización se lleva a cabo. Y con otro gran evento deportivo que se está realizando, la FIFA Copa del Mundo 2018, ya ha habido campañas de infección ,relacionado con la copa del mundo de los agentes de amenaza.

Ventsislav Krastev

Ventsislav es un experto en ciberseguridad en SensorsTechForum desde 2015. El ha estado investigando, cubierta, ayudando a las víctimas con las últimas infecciones de malware, además de probar y revisar software y los últimos desarrollos tecnológicos. Tener la comercialización graduado, así, Ventsislav también tiene pasión por aprender nuevos cambios e innovaciones en ciberseguridad que se conviertan en un cambio de juego.. Después de estudiar Value Chain Management, Administración de redes y administración de computadoras de aplicaciones del sistema, encontró su verdadero llamado dentro de la industria de la ciberseguridad y cree firmemente en la educación de cada usuario hacia la seguridad en línea.

Más Mensajes - Sitio web

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo