Un grupo de hackers desconocidos que se sospecha que proceden de China, se ha encontrado para lanzar un ataque masivo a nivel mundial utilizando una versión troyanizado del servicio Narrador con el malware PCShare. Esto es particularmente peligroso ya que la campaña en curso se dirige a las empresas de tecnología y redes empresariales. Su función es reemplazar el servicio legítimo de Windows que es parte de la suite de Accesibilidad.
Infectado servicio de Windows Narrador Con El PCShare Troya Lanzado A nivel mundial
Un informe de seguridad indica que un desconocido piratería colectiva, presumiblemente de China, está poniendo en marcha un malware peligroso llamado la PCShare de Troya que se fija para infectar las redes de todo el mundo. De acuerdo a los investigadores que descubrieron la amenaza del malware hace uso de la táctica inusual de reemplazar el servicio legítimo del sistema operativo Windows llamada Narrador que es la principal de la aplicación de lectura de pantalla.
El mecanismo exacto de la intrusión de la PCShare de Troya es infectar los ordenadores destinados y luego reemplazar el servicio Narrador legítima con una versión maliciosa. La distribución exacta del troyano se realiza principalmente a través campañas de phishing de correo electrónico - las posibles víctimas recibirán mensajes que están diseñados para imitar a las normales que se envían a ellos a través de empresas o servicios conocidos. La alternativa es falsa sus páginas de inicio, las páginas de destino o login y alojarlas en los nombres de dominio que suenan similares. También pueden incluir certificados de seguridad que puede ser falsificada, robado o autofirmado para que los visitantes creen que están visitando un sitio seguro.
Es interesante que el cargador PCShare de Troya es entregado por una DLL NVIDIA legítima carga lateral que forma parte del controlador de tarjeta gráfica para el sistema operativo Windows. Su propósito es descifrar un inicio la carga maliciosa que es la segunda etapa del troyano. Como esto se hace a través de una la inyección de memoria - el archivo binario real que nunca se deja caer en el disco duro de la víctima. Esto se realiza en paralelo con una técnica de anti-sandboxing que está diseñado para evitar o eliminar por completo los productos y servicios de seguridad instalados. Esto se hace principalmente contra aplicaciones tales como programas antivirus, entornos sandbox, cortafuegos, sistemas de detección de intrusión y etc.
Capacidades PCShare de Troya
Tan pronto como el troyano se inicia en el sistema víctima que dará lugar a numerosos módulos de malware que se van a ejecutar. La mayoría de ellos se basan en el malware de código abierto que han sido modificados en la campaña de ataque. El troyano principal será establecer una conexión segura a un servidor pirata informático controlado permitiendo así a los criminales para tomar el control de las máquinas afectadas. Esto también les permite robar datos e información valiosa, así como la instalación de otras amenazas, así.
Cuando el servicio Narrador legítima es reemplazado por el malvado va a ganar privilegios administrativos que le permite acceder a todas las secciones importantes del sistema. El PCShare de Troya y los módulos maliciosos desplegados incluyen la instalación de una keylogger que tendrá un seguimiento activo de la entrada de teclado del usuario para las credenciales potenciales, tales como contraseñas. Si se detectan tales cadenas que serán enviadas a los criminales.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: