El malware de Android Cookiethief united states proxies para secuestrar tu cuenta de Fb


Necesitará más que un antivirus: los ataques &#39sin malware&#39 en aumento
Las técnicas sin malware o sin archivos representaron el 51% de los ataques el año pasado, en comparación con el 40% del año anterior, ya que los piratas informáticos recurren a credenciales robadas para violar las redes corporativas.

Una combinación de nuevas modificaciones al código de malware de Android ha dado lugar a troyanos capaces de robar cookies de navegador y aplicaciones de dispositivos comprometidos.

El jueves, investigadores de Kaspersky dijeron que las nuevas familias de malware, apodado Cookiethief, use una combinación de exploits para adquirir derechos de root para un dispositivo Android y luego robar datos de cookies de Facebook.

Las cookies son pequeños datos que los sitios website, los servicios en línea y las aplicaciones móviles recopilan para rastrear a los usuarios. Esta información puede usarse para fines de promoting, incluida la creación de contenido personalizado o recomendaciones de anuncios, para rastrear la participación del usuario o para recopilar conjuntos de datos más amplios sobre los consumidores, como sus patrones de compra e intereses.

Las cookies generalmente no se consideran dañinas, aunque sean una molestia y puedan erosionar la privacidad. Sin embargo, cuando se almacenan en sitios website y se utilizan para generar ID de sesión únicos para permitir que los usuarios permanezcan conectados a un servicio, su pérdida puede ser un riesgo de seguridad.

Ver también: Vulnerabilidad crítica de XSS parcheada en el complemento de WordPress Consentimiento de cookies GDPR

Los actores de amenazas pueden engañar a un sitio world-wide-web haciéndoles creer que son titulares legítimos de cuentas, lo que puede comprometer la cuenta, el robo de datos y, posiblemente, el secuestro. Existen medidas de seguridad que pueden prevenir estos escenarios sin embargo, la nueva bolsa de trucos del malware intenta evadirlos.

Kaspersky no está completamente seguro de cómo Cookiethief ha aterrizado en dispositivos que ya muestran signos de infección (el último recuento es de aproximadamente 1,000, una cifra que está subiendo), pero una vez que el troyano lo hace, la primera etapa del ataque es adquirir la raíz derechos en un dispositivo móvil Android.

En los casos documentados por Kaspersky, las cookies de Fb son el objetivo principal. El equipo desea enfatizar que no parece haber una vulnerabilidad en la aplicación de Fb o en los navegadores móviles que permita el robo y la intrusión de malware.

La puerta trasera Bood se instala en el momento de la infección que se conecta a un servidor de comando y management (C2) y los comandos de shell se pasan para la ejecución del comando «superusuario» y el robo de cookies.

CNET: Estados Unidos debe hacer más para detener ataques cibernéticos, encuentra comisión bipartidista

Sin embargo, robar cookies no es suficiente para obtener acceso a la cuenta de Facebook, ya que cualquier actividad sospechosa podría provocar que las cuentas se bloqueen automáticamente. Aquí es donde entra la segunda etapa de Cookiethief.

Durante el análisis, el equipo encontró una segunda rama del malware con una codificación similar y la misma conexión de servidor C2. Este malware lanza un proxy en el dispositivo víctima para que las solicitudes de acceso parezcan legítimas.

«Al combinar estos dos ataques, los ciberdelincuentes pueden obtener un manage completo sobre la cuenta de la víctima y no levantar sospechas de Fb», dice el equipo. «A partir de ahí, los delincuentes pueden hacerse pasar por la víctima y tomar el management de su cuenta de redes sociales para distribuir contenido no deseado».

TechRepublic: Las tendencias más grandes para 5G como infraestructura alcanzan los $ 4.2 mil millones

El contenido en cuestión es probablemente spam o la distribución de enlaces maliciosos. Una página internet almacenada en el C2 del estafador anuncia la cuenta de la purple social y los servicios de distribución de mensajería, por lo que los investigadores creen que el troyano podría ser el resultado de los esfuerzos para difundir el spam y los ataques de phishing.

Kaspersky dice que Cookiethief también puede estar conectado a troyanos existentes, incluidos Sivu, Triada y Ztorg, que generalmente están integrados en el firmware o implementados a través de vulnerabilidades del sistema operativo.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia unique