News

Replanteamiento de los programas maliciosos para Java o gestación de un inédito robot malicioso para Java

En “Firing the roast – Java is heating up again”, publicado en el Virus Bulletin 2011, hablamos sobre el nivel de explotación de los exploits Java que se han lanzado este año. Analizamos en detalle la vulnerabilidad CVE-2010-0840, así como otras variantes de sus implementaciones más comunes en la web y algunas herramientas y consejos para su análisis. El equipo de seguridad de Microsoft presentó sus hallazgos de este año, que reflejan los nuestros, en relación al predominio de los exploits dirigidos a Java en la web (¡en primera posición!). Al mismo tiempo, aparte de la reciente y afamada implementación BEAST para Java, resulta sorprendente la baja presencia de puertas traseras, troyanos y spyware para Java. Pero esa falta de programas maliciosos para Java está comenzando a cambiar. Mi colega, el analista de programas maliciosos Roman Unucheck, ha identificado un nuevo robot de Java con interesantes características, al que hemos bautizado como “Backdoor.Java.Racac”.

Nuestra detección de “Backdoor.Java.Racac” ya es pública, pero hasta este momento no se han tenido informes de que Virustotal lo haya detectado (otro upload podría remediar esto). Lo que hace que este nuevo robot de Java sea tan interesante son sus modernas funciones:

  1. Comunicaciones móviles Twitter
  2. Efectiva implementación de la codificación (los algoritmos incluyen uso privado o público de llaves, encadenamiento de bloqueo de codificación).
  3. Lista completa de capacidades DDoS: HTTP Flooder, UDP Flooders, Raw Socket Flooder junto a completas capacidades proxy SOCKS para ocultar la verdadera fuente del robot infeccioso.
  4. Rastreo de localización geográfica y generación de informes.
  5. Descarga y ejecución de códigos arbitrarios.
  6. Habilidad para identificar herramientas automáticas de análisis y autoeliminarse para dificultar la detección de la familia.
  7. Adecuada implementación AWT de capturas de pantalla para múltiples plataformas
  8. Completamente funcional en múltiples plataformas: se ejecuta en Windows, Linux y Apple OS X.
  9. Etc.

Este código dirigido al objeto está bien desarrollado y tiene un claro estilo. El archivo JAR sólo pesa 131 kb, lo que hace que el tamaño de este robot Java sea comparable al de otros robots y RATs comunes que infectan los sistemas de sus víctimas. Con ejemplos como este, podemos esperar una mayor presencia de programas maliciosos para Java en la lista habitual de exploits para Java de la que hemos visto hasta ahora. En breve seguiremos publicando sobre otros inusuales y recientes programas maliciosos para Java.

Replanteamiento de los programas maliciosos para Java o gestación de un inédito robot malicioso para Java

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada