×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×

ThetechguyMiembro desde: 09/02/18

Thetechguy
15
Posición en el Ranking
0
Usuarios seguidores
Sus noticias
RSS
  • Visitas
    96.171
  • Publicadas
    51
  • Puntos
    73
Veces compartidas
34
¡Consigue las insignias!
Trimestrales
  • 11º
Recientes
  • 11º
Visitas a noticias
Hace 3d

Investigadores de seguridad informática han descubierto un nuevo robo de información que recopila datos de inicio de sesión de Chrome de víctimas infectadas

Investigadores de seguridad informática han descubierto un nuevo robo de información que recopila datos de inicio de sesión de Chrome de víctimas infectadas, junto con cookies de sesión, y parece estar buscando detalles de Facebook en particular, según una alerta de amenaza Radware que la compañía compartió con este reportero.

El nuevo troyano, llamado Stresspaint, se ha encontrado oculto dentro de una aplicación gratuita de Windows llamada “Relieve Stress Paint”, distribuida a través de аоӏ.net, un dominio que utiliza caracteres Unicode, que cuando se convierten a Punycode deletrean xn--80a2a18a.net, en lugar de real aol.net.

stress 1.JPG

El equipo de seguridad informática de Radware cree que los delincuentes están usando el correo electrónico y el correo no deseado de Facebook para dirigir a los usuarios a este sitio web engañoso.

Los usuarios que descargan esta aplicación obtienen una herramienta de dibujo legítima, pero la aplicación también ejecuta otros archivos en segundo plano. Según los investigadores de seguridad informática de Radware, la aplicación de dibujo también se ejecuta:

Temp \ DX.exe: el módulo principal de Stresspaint que sigue siendo persistente en el sistema

Temp \ updata.dll – posiblemente utilizado más adelante para fines de credenciales / robo de cookies

El malware luego establece la siguiente clave de registro de Windows para obtener la persistencia de arranque y ejecutar el archivo DX.exe de Stresspaint con cada arranque de PC:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Ejecutar \ Updata

Según el equipo de Radware, el valor de esta clave de registro es DX.exe [parámetro].

“Hemos visto dos parámetros diferentes que pueden indicar dos campañas de infección diferentes que el autor desea rastrear”, dice el equipo de Radware. “Esto también está representado en el panel de control”.

Stresspaint también crea otra clave de registro. Éste contiene el GUID de cada víctima infectada en forma de “[5 letras / números aleatorios] HHMMSSYYYYMMDD”.

HKCU Software Classes VirtualStore MACHINE SOFTWARE RelieveStressPaint guid

Stresspaint roba los datos de inicio de sesión de Chrome y las cookies de sesión. Stresspaint luego hace copias de las bases de datos de cookies y datos de inicio de sesión de Chrome, que almacena en las siguientes ubicaciones:

El panel de control tiene secciones dedicadas para mostrar las credenciales de Facebook y otra para los datos de Amazon

AppData Local Google Chrome User Data Default Login Data11111

AppData Local Google Chrome User Data Default Cookies11111

El malware realiza copias de estos archivos para que pueda ejecutar todas las consultas y operaciones que necesita para extraer las credenciales de inicio de sesión y los archivos cookie almacenados en el navegador Chrome del usuario.

Ladrones que acceden a cuentas de Facebook para cosechar datos. Luego, el malware toma los datos de inicio de sesión y las cookies de sesión recogidos, los cifra y los sube a un panel de C & C, junto con el GUID del usuario.

Los investigadores de Radware rastrearon estos datos a un panel de control disponible en idioma chino. El panel de control tiene secciones dedicadas para mostrar las credenciales de Facebook y otra para los datos de Amazon. Esta última sección está vacía, lo que sugiere que los atacantes aún no se han centrado en extraer los detalles de Amazon de los datos robados.

stress

Los investigadores dicen que los delincuentes validan activamente las credenciales de Facebook y las cookies de sesión iniciando sesión en cuentas y recopilando datos adicionales como el número de amigos de cada usuario, si la cuenta administra una página de Facebook o no, y si la cuenta tiene un método de pago guardado en su configuración.

Stresspaint infectó a más de 35, 000 usuarios. Radware dice que identificó a más de 35, 000 usuarios infectados, la mayoría con base en Vietnam, Rusia y Pakistán. La aplicación de pintura trojanizada se vio por primera vez a principios de mes, pero los ladrones comenzaron su distribución masiva solo durante el fin de semana.

stress 2

Mientras que el malware actualmente se detecta bastante bien en servicios agregados de escaneo de virus como VirusTotal, Stresspaint inicialmente pasó por alto el software de seguridad porque hizo copias de las bases de datos de inicio de sesión y cookies de Chrome y consultó las copias en lugar de intentar acceder a los archivos originales, generalmente se mantiene bajo vigilancia por la mayoría del software de seguridad.

Los investigadores de seguridad informática han notificado a Facebook sobre las operaciones de recolección de credenciales del malware y también se han comunicado con el registrador de dominios donde se registró el dominio malicioso de .NET, pidiendo que se eliminen.

Ahora los investigadores de seguridad informática de Radware han detectado cambios en el funcionamiento interno de Stresspaint, ya que el malware ahora usa un nuevo formato para el GUID, y algunos de los archivos y claves de registro creados en hosts infectados también varían ligeramente. No obstante, además de los cambios cosméticos en los nombres de los archivos y las claves de registro, se mantiene el mismo modus operandi.

Más recientes de Thetechguy

Password Cracker, lo que debes saber

Password Cracker, lo que debes saber

Las aplicaciones web y los servicios web son particularmente vulnerables a los ataques de contraseña bruteforce Hace 2d

XiaoBa Ransomware rediseñado como Coinminer pero destruye tus archivos

XiaoBa Ransomware rediseñado como Coinminer pero destruye tus archivos

Los autores del ransomware XiaoBa han actualizado su código de malware en un minero de criptomonedas (coinminer) Hace 3d

El programa de recompensas de errores Hyperledger se vuelve público

El programa de recompensas de errores Hyperledger se vuelve público

El proyecto Hyperledger ha abierto las puertas de su programa de recompensas de errores al público Hace 3d

Más de 20 millones de usuarios de Chrome instalaron falsos bloqueadores de anuncios maliciosos

Más de 20 millones de usuarios de Chrome instalaron falsos bloqueadores de anuncios maliciosos

Los bloqueadores de anuncios perjudican las ganancias de un sitio web al mismo tiempo que les permite a los usuarios navegar por Internet sin la molestia de cerrar anuncios emergentes y ser redirigidos a sitios fraudulentos que bombardean a los usuarios con spam Hace 4d

Un vulnerabilidad en Intel SPI permite a atacantes realizar borrado o modificación de la BIOS o UEFI

Un vulnerabilidad en Intel SPI permite a atacantes realizar borrado o modificación de la BIOS o UEFI

Intel ha abordado una vulnerabilidad en la configuración de varias series de CPU que permiten a un atacante alterar el comportamiento de la memoria Flash SPI del chip, Hace 5d

Mostrando: 1-5 de 50