El virus KBOT saca archivos del sistema sin esperanza de recuperación


Una de las mayores filtraciones de datos se remonta al ataque de malware de Wawa 2019
La violación de Wawa puede clasificarse como una de las más grandes de todos los tiempos, comparable a las violaciones anteriores de Home Depot y Concentrate on.

Ha pasado más de una década desde que el famoso virus ILOVEYOU se soltó en el mundo, MyDoom fue considerado una amenaza de correo electrónico en el día, y el virus Slammer es recordado por haber bloqueado el servicio de cajeros automáticos del Financial institution of The united states.

Virus informáticos y gusanos alguna vez fueron comunes pero ahora han dado paso a amenazas más sofisticadas y variadas, incluidos mineros ilícitos de criptomonedas, troyanos, ransomware y software package de vigilancia altamente complejo diseñado para infiltrarse en dispositivos móviles.

Sin embargo, a veces hay una explosión del pasado, como en el caso reciente de KBOT, un nuevo virus que circula.

El nuevo malware fue descubierto por los investigadores de Kaspersky. En una publicación de website el lunes, Anna Malina de Kaspersky dijo que KBOT, un virus que se propaga inyectando código malicioso en archivos ejecutables de Home windows, es el «primer virus» vivo «en los últimos años que hemos detectado en la naturaleza».

Ver también: Este troyano secuestra su teléfono inteligente para enviar mensajes de texto ofensivos

KBOT puede propagarse a través de sistemas con conexión a Web, redes locales y unidades extraíbles. Una vez que un sistema está infectado, el malware se escribe en el Inicio y el Programador de tareas, infectando todos los archivos .exe en unidades lógicas y carpetas de purple compartidas en su ruta.

Al escanear unidades, el virus agregará código polimórfico a los archivos .exe y anulará las funciones de la interfaz IWbemObjectSink, una característica de las aplicaciones Win32. KBOT también escuchará eventos de conexión entre unidades lógicas y utilizará las funciones API NetServerEnum y NetShareEnum para recuperar rutas a otros recursos de purple para propagarse.

«Al igual que muchos otros virus, KBOT parchea el código del punto de entrada, donde se implementa el cambio al código polimórfico agregado al inicio de la sección de código», dice Malina. «Como resultado, el código original del punto de entrada y el inicio de la sección de código no se guardan. En consecuencia, la funcionalidad original del archivo infectado no se conserva».

KBOT utiliza una variedad de herramientas y técnicas de ofuscación para ocultar su actividad, incluido el cifrado de cadena RC4, escanea las DLL relacionadas con el software package antivirus para suspenderlas y la inyección de código en procesos legítimos y en ejecución.

CNET: Los piratas informáticos extranjeros están apuntando a más agencias del gobierno de EE. UU., Según un informe

Si la alteración de los archivos .exe no fue suficiente, el malware intenta realizar inyecciones world wide web para el robo de los datos personales de la víctima, que pueden incluir las credenciales utilizadas para acceder a los servicios financieros y bancarios en línea.

La falsificación de páginas website es el método preferido de KBOT y, para hacerlo, el virus parcheará las funciones del código en los navegadores, incluidos Chrome y Firefox, así como el código de las funciones del sistema para manejar el tráfico.

Sin embargo, antes de que ocurra un robo de datos importante, el malware primero establecerá un enlace a su servidor de comando y manage (C2), cuyos dominios relacionados se almacenan en el archivo hosts.ini. Los parámetros de configuración y conexión de C2 están encriptados y enviarán la ID del bot, el nombre de la computadora, el sistema operativo y las listas de los usuarios locales y el software program de seguridad instalado.

TechRepublic: Lanzamientos de Kubernetes: 5 mejores prácticas de seguridad

Los comandos C2 incluyen eliminar y actualizar archivos, incluidas las instrucciones para actualizar los módulos bot o realizar la autodestrucción. KBOT también puede descargar módulos de malware adicionales que recopilan datos del usuario, incluidas credenciales, archivos, información del sistema y datos relacionados con billeteras de criptomonedas. Por lo tanto, la nueva variante de malware es una de ver.

«KBOT representa una seria amenaza porque puede propagarse rápidamente en el sistema y en la purple community al infectar archivos ejecutables sin posibilidad de recuperación», dice Kaspersky. «Disminuye significativamente la velocidad del sistema mediante inyecciones en los procesos del sistema, permite a sus manejadores controlar el sistema comprometido a través de sesiones de escritorio remotas, roba datos personales y realiza inyecciones world wide web con el fin de robar los datos bancarios de los usuarios».

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia initial