Globedia.com

×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×
cross

Suscribete para recibir las noticias más relevantes

×
Recibir alertas

¿Quieres recibir una notificación por email cada vez que Imprints09 escriba una noticia?

El software espía Fauxpersky se hace pasar por Kaspersky AV

05/04/2018 15:50 0 Comentarios Lectura: ( palabras)

El malware, etiquetado como Fauxpersky, también está escrito utilizando herramientas AutoHotKey

Los investigadores en seguridad de la información descubrieron un registrador de teclas y ladrón de información basado en Windows que postula falsamente como software antivirus de Kaspersky y se propaga a través de dispositivos USB infectados.

El malware, etiquetado como Fauxpersky, también está escrito utilizando herramientas AutoHotKey (AHK) que, en circunstancias normales, se usarían para crear atajos de teclado.

kaspersky sp

Según una publicación de Cybereason, Fauxperksy aprovecha las capacidades de AHK para leer textos de Windows y enviar pulsaciones de teclas a otras aplicaciones. Está compuesto por cuatro ejecutables colocados dentro de un directorio etiquetado como “Kaspersky Internet Security 2017”. Este directorio también contiene un archivo Readme.txt y una imagen PNG que muestra un logotipo de Kaspersky como una pantalla de presentación cuando una máquina infectada inicia sesión en Windows. Esta imagen pretende engañar a los usuarios haciéndoles creer que el antivirus de Kaspersky se está ejecutando activamente.

El archivo Readme.txt presenta instructores para que los usuarios desactiven su programa antivirus si no pueden abrir sus carpetas o archivos correctamente, seguidos por una larga lista de productos de seguridad que supuestamente son incompatibles con el producto Kaspersky que los usuarios creen que se ha instalado.

A los cuatro ejecutables principales se les asigna un nombre que se parece a un archivo de sistema de Windows: Explorers.exe, Svhost.exe, Taskhost.exe y Spoolsvc.exe. El primer componente, Explorers.exe, es responsable de la autopropagación y la persistencia, que se extiende desde máquinas host a unidades externas conectadas a través de la replicación de archivos.

Está compuesto por cuatro ejecutables colocados dentro de un directorio etiquetado como “Kaspersky Internet Security 2017”

Svhost.exe utiliza las funciones de AHK para supervisar la ventana activa en la que se encuentra una persona infectada y luego registra las pulsaciones de teclas que ingresan en esa ventana. Taskhost.exe es responsable de crear el malicioso directamente y maneja la persistencia, mientras que Spoolsvc.exe también proporciona cierta persistencia y realiza la exfiltración de datos de los datos de keylogged en un formulario de Google.

“Exfiltrar datos a un formulario de Google es una forma muy simple e inteligente de superar una gran parte de la logística involucrada en la filtración de datos”, afirma el mensaje. “El uso de esta técnica significa que no hay necesidad de mantener un servidor de comando y control anónimo y las transmisiones de datos a docs.google.com están encriptadas y no parecen sospechosas en varias soluciones de monitoreo de tráfico”.

“Este malware no es de ninguna manera avanzado o incluso muy sigiloso. Sus autores no hicieron ningún esfuerzo para cambiar ni siquiera las cosas más triviales, como el icono de AHK que está adjunto al archivo”, concluye la publicación. “Sin embargo, este malware es muy eficiente para infectar unidades USB y recopilar datos del registrador de pulsaciones de teclas, lo que lo filtra a través de Google Forms y lo deposita en la bandeja de entrada del atacante”. Los profesionales de la seguridad de la información comunicaron que el equipo de seguridad de Google eliminó el formulario Google malicioso casi inmediatamente después de que se le revelara.


Sobre esta noticia

Autor:
Imprints09 (123 noticias)
Visitas:
4632
Tipo:
Reportaje
Licencia:
Distribución gratuita
¿Problemas con esta noticia?
×
Denunciar esta noticia por

Denunciar

Etiquetas

Comentarios

Aún no hay comentarios en esta noticia.