Casa > Ciber Noticias > Los hackers de Rancor usan PLAINTTEE y DDKONG Malware en ataques asiáticos
CYBER NOTICIAS

El rencor hackers utilizan PLAINTTEE y DDKONG malware en los ataques de Asia

Los colectivos criminales son cada activo contra las redes de ordenadores en todo el mundo. Los expertos han detectado una nueva ola de ataques que están siendo orquestada por los piratas informáticos Rancor contra varios ordenadores situados en Asia que aprovechan la PLAINTEE y familias de malware DDKONG. Este grupo ha sido conocido previamente para crear troyanos en los ataques dirigidos contra las organizaciones.

El descubrimiento de los hackers Su rencor y PLAINTTEE y DDKONG malware

ataques de piratas informáticos dirigidos se han convertido en una de las tácticas más peligrosas en los últimos dos años. Pueden tener consecuencias aún más perjudiciales, ya que más a menudo se basan en vulnerabilidades de seguridad y las infecciones informáticas utilizando código personalizado o cepas de Troya sofisticados. Esta es la razón por la que pueden ser mucho más devastadora que las infecciones por virus ordinarios, incluyendo aquellos con ransomware.

El colectivo penal fue descubierto tras un análisis de una amenaza conocida como la KHRAK de Troya. Fue utilizado en un sofisticado ataque en agosto 2017 contra los usuarios de computadoras en Camboya. El método de distribución principal fue el uso de infectados documentos de Microsoft Word que utiliza tácticas de ingeniería social para infectar el mayor número posible de usuarios. Una vez que las macros integradas (guiones) se activan el motor incorporado pondrá en marcha un comando de descarga que recupera el resto del virus. El análisis de seguridad muestra que las solicitudes de la red utilizan una dirección falsa dominio DropBox que es un truco utiliza para prevenir los administradores del sistema y las contramedidas de defensa automatizados de detección de las operaciones sospechosas.

Tras su instalación se pondrá en marcha una Trojan instancia que se conecta a un servidor pirata informático controlado. Esto permite a los piratas informáticos rencor para espiar a las víctimas, desplegar amenazas adicionales y también tomar el control de las máquinas en un momento dado.

El KHRAK de Troya es una pieza importante del rompecabezas, ya que se encontró que una estrategia similar está siendo operado contra objetivos en Asia. La forma en que las infecciones se llevan a cabo muestra que los mismos actores están detrás de los ataques en curso. Los informes muestran que el colectivo tiene como objetivo Singapur y Camboya.

El apalancamiento PLAINTTEE Rencor hackers y malware DDKONG contra objetivos asiáticos

Los ataques una vez más utilizan mensajes de spam de correo electrónico como el principal método de distribución. Los informes indican que los hackers están utilizando el rencor elementos tomados de los artículos de noticias que enfoque principal en las noticias de política y los acontecimientos contemporáneos. Esto le da a los expertos una razón para creer que los atacantes se dirigen principalmente entidades políticas.

Una de las características más peligrosas de los mensajes de correo electrónico es que están alojados en asienta legítima, incluyendo los que están alojados por el Gobierno de Camboya y redes sociales, incluyendo Facebook. Durante el análisis de los especialistas en seguridad, tenga en cuenta que algunos de los KHRAT Troya comandos y se están utilizando servidores. Hay dos grupos distintos (llamado “El grupo A” y “Grupo B”) que utilizan estrategias de phishing separadas. Este paso se realiza con el fin de aumentar la relación de la infección.

Capacidades DDKONG malware

El análisis de código del malware DDKONG muestra que las primeras versiones de que se remontan a octubre 2017. Esto demuestra que es muy posible que el código del virus puede haber sido compartida con otros grupos o piratas informáticos.
DDKong está hecho de tres partes: ServiceMain, Rundll32Call y DllEntryPoint. Cuando se ejecuta la primera parte se carga a sí mismo como un servicio y luego lanzar el segundo módulo. Esto se hace con el fin de permitir una instalación persistente. amenazas similares modifican el sistema mediante la desactivación de ciertos menús y modos de recuperación y hacer que el virus se inicia automáticamente cuando se inicia el equipo. Esto hace que la eliminación manual de usuario muy difícil.




La función Rundll32Call inicia un monitor de servicio que asegura que sólo una única instancia se está ejecutando en un momento. El tercer módulo se entrega en un formato codificado y decodificado vivir en el sistema una vez que los dos módulos anteriores han tenido éxito corriendo. Este paso es necesario con el fin de evitar que el software de seguridad del uso de escáneres basados ​​en firmas para detectar el malware definitiva. El último módulo (DllEntryPoint) crea una conexión segura a un servidor pirata informático controlado que se utiliza para informar de las infecciones. También permite a los piratas informáticos para instalar otras amenazas, espiar a las víctimas y tomar el control de las máquinas.

Capacidades PLAINTEE malware

El malware es una amenaza PLAINTEE sofisticada que se ha encontrado para utilizar un protocolo UDP a medida para comunicarse con los piratas informáticos. Al igual que DDKONG que utiliza mensajes de correo electrónico de phishing para la infección inicial y tan pronto como el malware hace su camino en los equipos de destino se iniciará su patrón de comportamiento incorporado.

El análisis de código en las cepas capturados muestra que las primeras acciones realizadas por la amenaza están relacionados con el Registro de Windows. El virus se instala como una persistente amenaza enmascarando sí misma como una “Microsoft Audio” Servicio. Se crea una nueva entrada de carpeta que se hace pasar por un componente que pertenece al sistema operativo. Después de este monitor de un servicio del sistema que se llama, que controla y se asegura de que sólo una única instancia se está ejecutando en un momento.

El siguiente paso es ejecutar una la recolección de datos motor que se utiliza para la generada identificación de usuario único. La lista de los valores recogidos incluye la siguiente información:

  • Especificaciones del procesador & Memoria instalada
  • Placa base y componentes instalados
  • Ajustes regionales
  • Valores del sistema operativo establecido por el usuario,

Al igual que el software malicioso DDKONG esta amenaza en particular también utiliza un protocolo de seguridad personalizada para comunicarse con los servidores de hackers controlado. Los datos recolectados se envía automáticamente y se establece una secuencia de respuesta y solicitud. Las interacciones observadas señalan que los hackers pueden utilizar varios comandos. Así como recuperar la lista de los datos sensibles de la conexión se puede utilizar para desplegar amenazas adicionales.

El análisis realizado revela que el motor también puede recuperar la lista de aplicaciones y servicios que se ejecutan, así como las conexiones de red disponibles. Esto puede ser usado para desplegar las amenazas adicionales, tomar el control de sus máquinas y espiar a los usuarios en tiempo real.

Consecuencias de la PLAINTTEE y DDKONG Infecciones de malware por los hackers RANCOR

Los continuos ataques que se originan a partir de los piratas informáticos RANCOR parecen tener como objetivo únicamente la región de Asia del Sudeste. Es muy probable que proceden de un país situado en esta zona, ya que están utilizando un esquema de phishing basados ​​en la ingeniería social sofisticada. Uno de los aspectos más peligrosos de la amenaza es que utiliza protocolos personalizados, este elude tanto la detección de las amenazas de malware a su vez por el software de seguridad y análisis de redes.

La conclusión análisis confirma una vez más que las cepas complejas tales como éste son particularmente peligrosos. La investigación continúa a medida que los investigadores de seguridad continúan vigilando el panorama del malware.

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo