Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Nuevo malware ofuscado dirigido a datos confidenciales
20 de febrero de 2023 - Equipo de RRPP de TuxCare
Los investigadores han descubierto un nuevo tipo de malware ofuscado diseñado específicamente para robar datos confidenciales de los ordenadores de las víctimas. El malware se distribuye a través de correos electrónicos de phishing que parecen legítimos pero contienen un enlace a un sitio web malicioso que descarga malware en el ordenador de la víctima.
"La mayoría de estos paquetes tenían nombres bien pensados, para confundir a propósito a la gente", dijo el investigador de seguridad y periodista Ax Sharma. Las líneas 50 y 54 que contienen un "objeto bytes" Python en hexadecimal están creando esencialmente un archivo binario Linux (ELF) que es un troyano Meterpreter generado por la herramienta de pentesting, Metasploit [análisis de VirusTotal]. El archivo está muy desprotegido y ofuscado, lo que dificulta su análisis. La carga útil de Meterpreter se ejecuta en memoria y permite al atacante obtener acceso shell a la máquina infectada.
Una vez instalado, el malware emplea diversas técnicas para evitar ser detectado, como cifrar su carga útil y emplear ofuscación de código. El malware también es capaz de eludir el software de seguridad y los cortafuegos haciéndose pasar por tráfico de red legítimo.
Los paquetes en cuestión son aptx, bingchilling2, httops y tkint3rs, que se descargaron unas 450 veces antes de ser eliminados. Mientras que aptx es un intento de imitar el códec de audio de Qualcomm del mismo nombre, httops y tkint3rs son errores ortográficos de https y tkinter, respectivamente.
El objetivo del malware es robar información confidencial, como nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos financieros. Para capturar información sensible, también realiza capturas de pantalla y registra las pulsaciones del teclado.
A continuación, el código intenta crear/modificar el archivo de "claves autorizadas" en la carpeta ".ssh". Esto facilita aún más al atacante la instalación de una puerta trasera SSH en la máquina infectada, a la que podrá conectarse posteriormente.
El malware, según los investigadores, forma parte de una campaña más amplia para robar información sensible de organizaciones objetivo. Han aconsejado a las empresas que vigilen sus redes en busca de cualquier actividad sospechosa y que mantengan su software de seguridad actualizado con los últimos parches.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.
