Actualidad

Descubren una nueva APT que monitoriza los clics de ratón para no ser detectada

Investigadores del proveedor de seguridad FireEye han destapado una nueva amenaza persistente avanzada (APT) que emplea numerosas técnicas para evitar ser detectada, incluyendo el seguimiento de los clics del ratón, con el fin de determinar la interacción humana con el ordenador infectado.

Bautizada con el nombre de Trojan.APT.BaneChant, la APT se distribuye a través de un documento de Word con el nombre "Islamic Jihad.doc.", que junto con un exploit es enviado por correo electrónico a través de ataques dirigidos. “Sospechamos que esta ATP se utilizó para atacar a los gobiernos de Medio Oriente y Asia Central", afirma el investigador de FireEye, Chong Rong Hwa.

El ataque funciona en múltiples etapas, empezando por la descarga del documento malicioso, la cual ejecuta un componente que trata de determinar si el entorno de seguridad es uno virtualizado, como un antivirus sandbox o un sistema de análisis de malware automatizado, esperando a ver si hay alguna actividad del ratón antes de iniciar la segunda etapa del ataque. Según Rong Hwa, la monitorización de los clics del ratón no es una técnica de evasión nueva, pero el malware que la ha utilizado en el pasado generalmente controlaba un solo clic del ratón, mientras que BaneChant espera por lo menos tres clics de ratón antes de proceder a descifrar una URL y descargar un backdoor que se hace pasar por un archivo .JPG.

La ATP también emplea otros métodos para evitar su detección. Por ejemplo, durante la primera etapa del ataque, el documento malicioso descarga el componente desde el servicio de acortamiento de URL ow.ly, con el fin de eludir los servicios de listas negras de URL activos en el ordenador de destino o su red. Del mismo modo, durante la segunda fase del ataque, el archivo malicioso. JPG se descarga desde una URL generada con el servicio DNS (Domain Name System) dinámico.

Después de ser cargado por el primer componente, el archivo .JPG deja una copia de sí mismo en la carpeta C:\ProgramData\Google2\ con el nombre GoogleUpdate.exe, y también crea un enlace al archivo en la carpeta de inicio del usuario con el fin de asegurar su ejecución después de cada reinicio del ordenador. Trata así de engañar a los usuarios haciéndoles creer que el archivo es parte del servicio de actualización de Google.

Noticias relacionadas:

- Las APT y los ataques DDoS preocupan a operadores y empresas

- Detectan un botnet que gana dinero a través de clics falsos en anuncios online



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper