El malware de puerta trasera se propaga a través de alertas falsas de certificados de seguridad


Malware Metamorfo hará que vuelva a escribir sus credenciales para asaltar su cuenta bancaria
El troyano bancario Metamorfo ha expandido su campaña para apuntar a los servicios bancarios de los usuarios en línea.

Las variantes de malware de puerta trasera y troyano se distribuyen a través de una nueva técnica de phishing que intenta atraer a las víctimas para que acepten una «actualización» de los certificados de seguridad del sitio world wide web.

Las Autoridades de Certificación (CA) distribuyen certificados de seguridad SSL / TLS para mejorar la seguridad en línea al proporcionar cifrado para los canales de comunicación entre un navegador y un servidor, especialmente importante para los dominios que brindan servicios de comercio electrónico, así como la validación de identidad, que pretende inculcar confiar en un dominio

Si bien hay casos de uso indebido de certificados, fraude e incluso cibercriminales que se hacen pasar por ejecutivos para obtener certificados de seguridad para cerrar dominios fraudulentos o cargas de malware, un nuevo enfoque de phishing ahora está abusando del mecanismo de confianza del certificado.

El jueves, investigadores de ciberseguridad de Kaspersky informó que la nueva técnica se ha visto en una variedad de sitios world-wide-web, desde un zoológico hasta una tienda de comercio electrónico que vende partes de vehículos. Las primeras infecciones datan del 16 de enero de 2020.

Ver también: Uno de cada 172 certificados RSA activos son vulnerables a los ataques.

Los visitantes de un dominio comprometido por la campaña se encuentran con la siguiente pantalla:

screenshot-2020-03-05-at-10-08-24.png

La alerta afirma que el certificado de seguridad del sitio world-wide-web está desactualizado, pero en lugar de ser un problema del propietario del dominio, se insta a las víctimas a instalar una «actualización del certificado de seguridad» para continuar.

El mensaje está contenido dentro de un iframe y el contenido se carga a través de un script jquery.js desde un servidor de comando y handle (C2) de terceros, mientras que la barra de URL aún conserva la dirección del dominio legítimo, lo que aumenta la legitimidad de la playera.

«El script jquery.js superpone un iframe que es exactamente del mismo tamaño que la página», dicen los investigadores. «Como resultado, en lugar de la página first, el usuario ve un banner aparentemente genuino que le solicita con urgencia instalar una actualización de certificado».

CNET: Clearview AI investigó las ventas de reconocimiento facial a gobiernos extranjeros

Si la víctima elige hacer clic en el botón de actualización, se inicia la descarga de un archivo, Certificate_Update_v02.2020.exe.

Cuando se descomprime e instala, el ejecutable entregará una de las dos variantes de malware a la víctima, ya sea Mokes o Buerak.

Mokes es una puerta trasera de macOS / Windows, considerada «sofisticada» por la empresa de ciberseguridad, que puede ejecutar código, tomar capturas de pantalla, robar información de la Laptop, incluidos archivos, audio y capturas de online video instale una puerta trasera para persistencia y use el cifrado AES-256 para disfrazar sus actividades.

TechRepublic: Coronavirus: lo que los profesionales de negocios necesitan saber

En comparación, Buerak es un troyano basado en Windows capaz de ejecutar código, manipular procesos en ejecución, robar contenido, mantener la persistencia a través de claves de registro y detectar diversas técnicas de análisis y sandboxing.

En noticias relacionadas esta semana, CA Allow&#39s Encrypt anunció planes para revocar más de tres millones de certificados debido a un mistake en el código de fondo que hizo que los sistemas de verificación ignoraran algunas comprobaciones de campo de CAA. El error de programación ya se ha solucionado. Los propietarios de dominios afectados deberán solicitar nuevos certificados.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia original