Embedded Files
FUNCIONAMIENTO
Funciona mediante el cifrado de archivos importantes en un sistema infectado, lo que hace que estos archivos sean inaccesibles al usuario.Una vez que los datos han sido encriptados, el malware muestra una nota de rescate que exige el pago de una suma de dinero para descifrar archivos ransomware.(https://helpransomware.com),
Clop ransomware bloquea más de 600 procesos de Windows y deshabilita múltiples aplicaciones de Windows 10, incluidas WIndows Defender y Microsoft Security Essentials, lo que reduce gravemente las oportunidades de proteger los datos. (https://www.cybertalk.org).
Este software malicioso está diseñado para cifrar datos y renombrar cada archivo con la extensión «.clop«. Tras completar el cifrado, Clop genera un archivo de texto («ClopReadMe.txt«) y coloca una copia en todas las carpetas.(https://www.redseguridad.com).
Una vez que Clop ransomware se instala en un sistema, comienza a encriptar los archivos del usuario de manera implacable. Utiliza algoritmos de encriptación fuertes que hacen prácticamente imposible recuperar los datos sin la clave de descifrado.(https://repararordenadores.com).
Clop Ransomware
Clop Ransomware
¿QUE ES?
Es una forma de malware que cifra los archivos del usuario y exige un rescate para desbloquearlos (https://helpransomware.com).
Es una de las amenazas de ransomware más recientes y peligrosas que han surgido (https://www.cybertalk.org).
Es un virus del tipo ransomware, diseñado para intentar eliminar herramientas y otras soluciones de seguridad de los sistemas que infecta (https://www.redseguridad.com).
Es un malware altamente peligroso que se propaga a través de correos electrónicos de phishing, descargas de software no confiables o exploit kits (https://repararordenadores.com).
PROPAGACION
Correos electrónicos de phishing: enviar enlaces o archivos maliciosos que, una vez abiertos, descargan e instalan el malware en el dispositivo;
Descargas de software no confiables: pueden utilizar sitios web no seguros para distribuir software no confiable, que una vez instalado en el dispositivo, permite al malware infectarlo;
Exploit kits: aprovechar las vulnerabilidades en el software no actualizado para instalar el malware en el dispositivo. (https://helpransomware.com).
Clop ransomware es un malware altamente peligroso que se propaga a través de correos electrónicos de phishing, descargas de software no confiables o exploit kits. Una vez infectado, cifra los archivos del usuario y exige un rescate para obtener la clave de descifrado.(https://repararordenadores.com).
Zeus Gameover
Zeus Gameover
¿QUE ES?
Es una variante de un conocido troyano bancario que hace años se propaga por Internet y es ampliamente utilizado por los cibercriminales para el robo de credenciales. https://www.welivesecurity.com/
Es una variante del troyano Zeus, que tiene como elemento diferenciador el uso de comunicaciones de tipo P2P. Los ordenadores infectados pasan a ser parte de una red de bot o botnet, que son controladas de forma remota, y que son usadas para cometer delitos. https://www.incibe.es/
Zeus es un notorio malware dirigido a la banca y GOZ (conocido como P2P Zeus, ZeuS v3) es una nueva variante. Cambia para adoptar la comunicación Peer-to-Peer (P2P) para el control de la infraestructura y también proporciona un algoritmo de generación de dominio (DGA) como canal de comunicación alternativo y transmite datos en forma cifrada, lo que hace que la botnet sea más difícil de eliminar. https://www.hkcert.org/
¿A QUIEN AFECTA?
Hasta la fecha, GameOver Zeus y las demás variantes de Zeus afectan a los sistemas operativos de Microsoft, y están principalmente orientadas a las versiones para usuarios. Sin discriminar si se trata de usuarios hogareños o corporativos, las diferentes variantes de esta familia de códigos maliciosos han causado más de un dolor de cabeza a usuarios y equipos de IT.https://www.welivesecurity.com/
Principalmente sistemas Windows: https://www.incibe.es/
Windows XP
Windows Vista
Windows 7
Windows 8
PROPAGACION
El método utilizado por Zeus, y prácticamente todas sus variantes, se basa en la inyección de código en el navegador y otros procesos del sistema, lo que le permite al malware interceptar el envío de usuarios y contraseñas para luego reenviarlas a su panel de control. https://www.welivesecurity.com/
Campañas de Phishing, mediante el envió de correos electrónicos, que suplantando a entidades financieras se intenta que la victima visite un sitio web, a través del enlace proporcionado en el propio mail, en donde se infectará el ordenador del usuario aprovechando alguna vulnerabilidad del sistema.
Descarga directa desde Internet de archivos infectados.https://www.incibe.es/
Utiliza la técnica man-in-the-browser (MITB) para interceptar mensajes de sesiones en línea. Puede eludir la autenticación de dos factores y mostrar mensajes de seguridad bancarios fraudulentos para obtener información de la cuenta del usuario para la autorización de transacciones. Además de robar datos, también utiliza la computadora infectada para enviar correos electrónicos no deseados, realizar ataques a la red e instala otros software maliciosos, como el infame ransomware " CryptoLocker " para ganar dinero. https://www.hkcert.org/
FUNCIONAMIENTO
Fleeceware implica aplicaciones que exigen un registro por un corto período de prueba, normalmente de unos tres días, pidiendo datos de pago para ese registro inicial y para poder descargar la aplicación.
La fuga comienza cuando el usuario ya no quiere la aplicación. Dado que los usuarios de la aplicación se han acostumbrado a lo largo de los años a simplemente desinstalar una aplicación antes de que finalice una prueba gratuita si deciden que ya no la quieren, realizan la desinstalación en una aplicación de fleeceware y creen que están libres de obligaciones adicionales.
Sin embargo, una laguna en las políticas de Google permite a los desarrolladores de aplicaciones de fleeceware bloquear los reembolsos después de solo unos días en el período de prueba y cobrar tarifas de todos modos, ya que una desinstalación no informa específicamente al desarrollador que el usuario ya no desea la aplicación.
Fleeceware
Fleeceware
¿QUE ES?
Fleeceware es como se denominan aquellas aplicaciones que, aunque técnicamente no son malware, tienen un funcionamiento poco legal. Fleeceware se refiere a programas y aplicaciones potencialmente no deseados o poco transparentes.
Estas aplicaciones son acordes con las regulaciones de Google Play Store. No piden permisos indebidos, no incluyen malware y efectúan las funciones que dicen.
Sin embargo, hacen que los usuarios tengan que pagar de más por sus funcionalidades básicas que son ofrecidas otras aplicaciones de manera gratuita o a un precio bajo. https://ayudaleyprotecciondatos.es/2020/06/09/fleeceware/
EJEMPLOS DE APLICACIONES FLEECEWARE
Lector de códigos QR
Brújula Pro
Creador de GIF profesional
Collage de foto
Old Me
Búsqueda de cámara por imagen
En iOS existen apps fleeceware como Mobile Protection: Clean & Security VPN y un escáner de código QR.
https://ayudaleyprotecciondatos.es/2020/06/09/fleeceware/
Shlayer
Shlayer
Es un malware que tomo relevancia infectando especialmente equipos Mac, por medio de anuncios publicitarios falsos, en donde el usuario realizaba la descarga y se propaga a través de adware, su principal beneficio es apropiarse de las consultas de los usuarios e incluso enviando búsquedas diferentes al navegador.
Este virus paga a paginas publicitarias para poner su malware y que este sea descargado por el usuario, por cada descarga realizada el malware paga a la pagina que proporciona el anuncio con la descarga.
Comportamiento:
Se camufla dentro del aplicativo que solicita al usuario instalar y desde este de forma silenciosa se descomprime y se almacena en las carpetas de Mac, desde ese momento comienza a desviar todas las busquedas del navegador a paginas con publicidad y llena de anuncios cualquier tipo de busqueda que realice el usuario.
Gh0st RAT
Gh0st RAT
Ghost RAT es considerado un troyano de acceso remoto, que controla los equipos en los que logra ser instalado, se descarga por medio de phishing donde los usuarios se encargan de abrirlo.
RAT puede evitar la detección del antivirus utilizando TCP encriptadas, descarga paquetes C&C para conectar con el server remoto, también puede utiliza un Shell remoto y ejecutar comandos o puede usar un keylogger para enviar las digitación de la maquina, puede grabar audio y video, e incluso grabar la pantalla del equipo afectado, para luego enviar la información del usuario al cibercriminal.
Algunas medidas que se pueden implementar para evadir este troyano son
El monitoreo de trafico de dispositivos en la red
Ejecutar un escaneo de puertos puede ayudar a detectar puertos maliciosos.
Registro de eventos de punto final, nos puede mostrar conexiones extrañas.
Emotet
Emotet
Descripción:
Historia de Emolet como virus inicia con un simple archivo de Java Scrip malicioso, detectado en 2014, y se fue mejorando para adpatarlo a correos electronicos e incluso se enviaba archivos con macros que se encargaba de bajar el virus desde los servidores. Emolet tiene la capacidad de cambiar cada que es descargado a un ordenador con esto elude los antivirus, y tiene facultades de gusano para esparcirse por los ordenadores.
Emotet es considerado un troyano, este tiene la capacidada saber en que momento ejecutar el ataque e incluso sabe cuando esta en un ambiente sandbox. Esta enfocado en atacar sitios gubernamentales, privados y organinzaciones, en donde utiliza las listas de contactos para reenviarse con correos que parecen autenticos.
Para protegerse de este troyano, debe tener precauciones con los correos electronicos, enlaces, archivos adjuntos de los que desconfie.
Comportamiento:
Emotet actua como un toyano a la espera de detectar cuando esta en ambientes en el que pueda operar sin ser detectado y robar la información, a pesar de que el antivirus lo escanee es capaz de no realizar ninguna acción para no ser detectado, al igua que si se esta ejecutando en un sandbox tiene como saberlo y no realizar ninguna acción. Esto hace de Emotet un virus bastante difícil de detectar y sobre todo limpiar cuando logra entrar a una red ya que se reproduce hacia otros equipos como un gusano.
Características:
Keylogging (Registro de pulsaciones de teclado).
Form grabbing (Formularios usados en paginas web, para la recopilación de datos).
Descarga de más Malware.
Forzar al dispositivo infectado a reiniciarse.
Tomar capturas de pantalla.
Detecta cuando se realiza un análisis de malware y se esconde.
ZeuS
ZeuS
Es un malware de tipo troyano bancario, se enfoca en el robo de nombres, códigos de usuario y contraseñas usando métodos como keylogging y from grabbing, popularizando el uso de este ultimo para el robo de datos.; se centra en sitios bancarios y este malware fue dirijido a equipos con Sistema Operativo Microsoft Windows.
Fue detectado por primera vez en el año 2007, también es conocido como Zbot, adicionalmente se convirtió en uno de los botnet mas eficaces del mundo, teniendo en si millones de equipos contaminados volviéndolos zombis y siendo usados de forma oculta por un servidor de comando y control para distribuir correos spam, robar datos, evitar bloqueos de IP y generando ataques DDoS.
Aunque inicialmente fue desarrollado para atacar equipos con Sistema Operativo Microsoft Windows, versiones recientes y mejoradas de este malware se han detectado en dispositivos móviles Symbian, Android y BlackBerry.
Métodos de infección:
Este Malware utiliza varias formas de infección principales:
Mensajes Spam en redes sociales.
Descargas ocultas.
Anuncios maliciosos.
AZORult
AZORult
Es un malware descubierto inicialmente en el año 2016, el cual roba información como el historial de navegación , cookies, ID, contraseñas, información de criptomonedas entre otros datos; adicionalmente puede descargar otros tipos de malware.
Los principales vectores de infección de este malware son los kit de exploits, como por ejemplo Fallout Exploit Kit y correos de phishing utilizando solicitud de pedidos de artículos, facturas, solicitudes de pagos falsos entre otros.
Este malware es de la familia troyano y spyware, se conecta a servidores de comando y control, donde el atacante puede enviar y recibir información; afecta a los dispositivos con sistema operativo Microsoft Windows.
Comportamientos:
Roba información del dispositivo, programas instalados, el identificador único global, la arquitectura del sistema, el idioma, nombre de usuario y del equipo, la versión del sistema operativo entre otros.
Roba datos almacenados en la cuenta utilizada por los usuarios por medio del protocolo de transferencia de archivos FTP.
Roba credenciales de correo electrónico.
Roba nombres de usuarios contraseñas y host de diversos navegadores.
Roba billeteras bitcoin.
Roba credenciales de Steam y Telegram.
Roba el historial de los chats y mensajes de Skype.
Ejecuta comandos de puerta trasera permitiendo al atacante tener control remoto del dispositivo infectado.
Características:
Robo de información.
Activar comandos de puerta trasera.
Exploits.
Descarga de rutinas.
Métodos de Infección:
Mensajes Spam.
Correos electrónicos de phishing con archivo adjunto .zip.
Caídas de llaves USB.
Publicaciones falsas de redes sociales.
MOUSEISLAND
MOUSEISLAND
Es una familia de Malware que aprovecha los macros de Microsoft Visual Basic para aplicaciones (VBA), incrustados en documentos de Microsoft Office, para acceder al dispositivo objetivo; una vez abiertos los documentos infectados con una carga útil de MOUSEISLAND descargan malware como por ejemplo PHOTOLOADER o IcedID, permitiendo al atacante controlar el dispositivo infectado de manera remota.
Se detecto en 2019, lo cual hace que este malware sea relativamente nuevo, aunque no se espera que permanezca activo por mucho tiempo, dado que Microsoft anunció que los macros de VBA se desactivarían para mediados del 2022.
Aunque no es considerado un malware a gran escala, se ha determinado que trabaja en cooperación de grupos de cibercriminales grandes como TrickBot y Shathak.
Remcos
Remcos
Es un Malware que ataca a dispositivos con Sistema Operativo Microsoft Windows, es ampliamente accesible en la Deep Web y es actualizado al menos una vez al mes, con nuevas funciones; fue detectado por primera vez en el 2016, su principal medio de operación es por medio de un archivo de Office donde solicita al usuario que habiliten los Macros.
Este malware proporciona un control completo sobre el dispositivo afectado al atacante; los autores de este malware mantienen sus funciones actualizadas con regularidad, lo que convierte este malware en un enemigo problemático a combatir.
Características:
Hace uso de keylogger.
Envía correos masivos / Spam.
Hace uso de DynDNS.
Se comporta como un troyano tradicional.
Comportamientos:
Roba información de los dispositivos.
Roba información del usuario.
Roba información del procesador.
Manejo de procesos en segundo plano.
Page updated
Report abuse