los investigadores de seguridad informática lanzaron el Q3 2017 El informe sobre virus que indica las amenazas más recientes cual las señales de las intenciones de los piratas informáticos que están detrás del software malicioso. El informe trimestral da una idea de dónde se dirigen los criminales y cómo han cambiado las tácticas de períodos anteriores.
Q3 2017 Las amenazas de malware revelan la actividad del malware constante
Los informes de seguridad dan una visión general de lo que los delincuentes informáticos tácticas han utilizado en el proceso de creación de malware. El período de tres meses también revela algunas de las últimas tendencias y el progreso de aquellos colectivos criminales que continúan utilizando el código basado en las famosas familias de malware, como Tear Ocultos (EDA2), Dharma y otros. Al tener esta información podemos ilustrar algunas de las principales tendencias y ataques a gran escala que se llevan a cabo en contra de los usuarios finales y los objetivos corporativos.
Las amenazas de malware utilizan técnicas de espionaje
Uno de los hallazgos clave del informe es el hecho de que una gran parte de los virus informáticos de alto impacto incluye un componente avanzado de Troya o de espionaje. El espionaje es considerada como una de las actividades más lucrativas cuando se trata de la planificación penal. Los expertos señalan que 10 de 24 informes de virus especialistas mencionan específicamente el espionaje como un objetivo principal detrás de la amenaza analizada. Los analistas han llegado a la conclusión de que los actores a partir de China o de afiliarse a las organizaciones del país tienden a utilizar este tipo de estrategias.
Se mencionan dos ataques notables:
- NetSarang - El sitio de distribución NetSarang fue el principal vector de ataque de un malware peligroso conocido como la puerta trasera ShadowPad. Los hackers fueron capaces de introducirse en el sitio del fabricante y colocar los instaladores de software falsificación en lugar de archivos legítimos. El incidente de seguridad se informó más tarde y confirmado por una compañía de seguridad cibernética independiente que estaba detrás del análisis después se detectó actividad sospechosa procedente de un paquete se encuentra en las redes de la compañía infectada. Se trata de una sofisticada amenaza de puerta trasera que tiene la capacidad de causar una gran cantidad de actividades de malware. Los ejemplos incluyen los siguientes módulos: robo de datos, infecciones por el virus, infectar la red corporativa, ataques DDoS y etc..
- La puerta trasera de incidentes CCleaner - Uno de los hechos más alarmantes en los últimos meses fue la infección CCleaner que ocurrió en septiembre. Se encontró que los servidores Piriform para incluir una versión de puerta trasera de su software más popular - la aplicación de software gratuito CCleaner, en consecuencia, esto afectó a millones de usuarios. Varias versiones se cree que han sido impactadas. Como resultado de la infección se impone una puerta trasera de dos etapas en los equipos de destino. Es capaz de órdenes que reciben de los operadores de hackers y espiar a las acciones de las víctimas.
el Q3 2017 Informes de Virus discutir los ataques notables
Una parte importante de la Q3 2017 informes de virus es el análisis en relación con los ataques a gran escala contra las instituciones del Estado y los servidores públicos. Los analistas especulan que los incidentes pueden estar relacionados con las acciones políticas tales como las implementaciones de políticas o negociaciones. Un ejemplo es la hierro Husky campaña de virus dirigida a empresas de aviación del gobierno ruso y mongol y centros de investigación específica. Los ataques fueron descubiertos en julio tras las conversaciones anteriores entre los dos países para modernizar la defensa aérea de Mongolia con la ayuda de Rusia. Unas semanas los ataques se iniciaron presumiblemente por los delincuentes chinos.
Otro ataque similar ocurrió después de la India y Rusia firmaron un acuerdo en cuanto a la ampliación de una planta de energía nuclear en la India. Ambos países experimentaron ataques de un virus peligroso llamado “H2ODecomposition” lo que se hizo pasar como un producto antivirus populares desde un proveedor indio.
ATM malware en el Rise
informes dedicados se hicieron en relación con la tendencia al alza de atacar a los cajeros automáticos con formas avanzadas de software malicioso. Dos amenazas específicas se han observado como de alto perfil y bastante exitosa en comprometer un gran número de hosts.
El primero se llama “chuleta fabricante” y su éxito parece provenir del hecho de que el código se ha vendido públicamente en el popular mercado subterráneo de hackers Alphabay. Se compone de tres módulos que forman parte del módulo de infección núcleo - un equilibrio de verificación ATM, retirada de efectivo y las interacciones del cliente. Los hackers publicaron un tutorial detallado sobre cómo piratear los ordenadores de los usuarios y el uso de virus fabricante Chuleta ellos contaminan por lo que la retirada de efectivo puede ser iniciado.
La otra amenaza se llama “ATM Proxy” y está diseñado para sentarse en estado latente en la máquina infectada en hasta una tarjeta con código de software malicioso codificada específica se introduce en el cajero automático. Una vez hecho esto se dispensa dinero en efectivo en una cantidad predefinida a los piratas informáticos.
Las infecciones con el ATMii ATM Virus no se mencionan en los informes principales sin embargo, merecen ser mencionadas en esta categoría. Las instancias que pertenecen a esta familia se componen de dos componentes principales: El módulo inyector y el motor anti-virus. Permite a los piratas informáticos para controlar las máquinas y llevar a cabo las operaciones del sistema operativo que se ejecuta en los dispositivos comprometidos. Un hecho peligrosa relacionada con las infecciones es que dependiendo de los controles de seguridad en algunos casos las infecciones no pueden ser detectados por todos los métodos.
Detalles sobre los ataques Lambert Toolkit malware
El Lambert Toolkit es un malware peligroso que se ha presentado en numerosas iteraciones desde 2014. Sus diferentes versiones tienen nombres de colores: azul, verde, rosa y gris. La adición más reciente es el “rojo” versión que ha sido descubierto durante un análisis exhaustivo de las computadoras comprometidas. Se presentó codificado certificados SSL construidos en los servidores de comando y control controlado de hackers. Ya que se basa en código antiguo es muy posible que algunas de las características clave de las variantes más antiguas se han conservado.
Algunas de las capacidades notables asociadas con diferentes cepas que son identificados como versiones provisionales de la caja de herramientas Lambert incluye los siguientes mecanismos: ataques de segunda etapa, intrusiones Mac OS X, entrega de la carga útil de encargo, función de modular la cosecha, infecciones pasivos y la infiltración de modo de usuario.
Actividades de Corea del Sur se vigilan activamente
Los especialistas en seguridad detectaron que dos de malware de alto impacto se han producido a partir de los criminales de Corea del Sur. Dos informe de especialista se han dedicado a los virus llamados Scarcruft y Bluenoroff. Scarcruft es un grupo APT designado. Las cepas de virus se han encontrado para atacar otros objetivos, así como Rusia, Nepal, China, India, Kuwait y Rumania. vectores de ataque principales incluyen el aprovechamiento de vulnerabilidades de software populares como el reproductor de Flash y Microsoft Internet Explorer.
Bluenoroff es operado por una parte colectiva de hackers del grupo de hackers Lázaro. Al igual que el anterior software malicioso se usa en ataques en otros países también: México, Uruguay, Rusia, Australia, Noruega, India, Nigeria, Polonia y Perú. Las infecciones se han hecho en contra de ambas instituciones estatales, así como las compañías financieras privadas, casinos, proveedores de software comercial y negocios de divisas cripto.
Los informes indican variadas campañas
Durante la investigación de las actividades de los hackers durante el período de los especialistas también han utilizado otras fuentes de información, así. Un ejemplo notable es un usuario anónimo que pagó los piratas informáticos en las comunidades subterráneas para acceder hash de archivo sensibles. Esto identifica una herramienta de malware llamado “Fantasía Triple” el cual es una herramienta que se utiliza para verificar las metas por el Grupo de la Ecuación. Este es el mismo mecanismo de ataque que se sospecha de ser utilizados por la NSA de Estados Unidos para llevar a cabo actividades de espionaje.
Los delincuentes informáticos siguen utilizando herramientas de código de fuente abierta y de libre acceso para infectar objetivos. Algunos de los aspectos preocupantes es que la mayoría de las campañas parecen tener motivación política como oscuro Cirene que impactó países situados en el Medio Oriente. Una gran campaña de espionaje en Chile también se llevó a cabo (llamada “Pisco Sour Gone”) y los ataques continúan en Ucrania con una nueva serie de sitios de phishing y los ataques DDoS. Las instituciones financieras también se vieron afectados por un troyano peligroso llamado “El silencio”.
Como siempre instamos a los usuarios de computadoras a confiar en una solución de seguridad de confianza y calidad que es capaz de proteger sus sistemas y eliminar las infecciones activas con unos pocos clics del ratón.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: