Backdoored Torrents Infect la película, los fanáticos de TV con Malware GoBot2

Backdoored Torrents Infect la película, los fanáticos de TV con Malware GoBot2
5 (100%) 5 votos

Backdoored Torrents Infect la película, los fanáticos de TV con Malware GoBot2

Los fan√°ticos de los programas de televisi√≥n y pel√≠culas est√°n siendo atacados por una campa√Īa maliciosa que distribuye una variante de puerta trasera GoBot2 a trav√©s de archivos descargados de varios sitios de torrentes de Corea del Sur y China.

El malware denominado GoBotKR por los investigadores de ESET que descubrieron que se est√° difundiendo como parte de una campa√Īa iniciada en mayo de 2018, ya se han detectado cientos de muestras en las computadoras comprometidas de usuarios de Corea del Sur, China y Taiw√°n.

GoBotKR se ha desarrollado para atacar específicamente a los fanáticos de Corea del Sur y esto se demuestra mediante las técnicas de evasión específicas de Corea del Sur agregadas a la puerta trasera original de GoBot2.

La puerta trasera GoBotKR basada en GoLang se construye mediante la personalizaci√≥n del malware GoBot2 disponible p√ļblicamente desde marzo de 2017 y las funciones agregadas que utilizan las bibliotecas GoLang se ejecutan en computadoras comprometidas con la ayuda de leg√≠timos Windows binarios y "utilidades de terceros como BitTorrent y clientes uTorrent".

Usado para sembrar torrentes, ataques DDoS.

Después de infectar la PC de una víctima, la puerta trasera permite que sus operadores agreguen la máquina comprometida a "una red de bots que luego pueden usarse para realizar ataques DDoS de varios tipos (por ejemplo, SYN Flood, UDP Flood o Slowloris)".

Para hacerlo, comienza por recopilar y eliminar información del sistema (por ejemplo, información de la versión del sistema operativo y de la red, versiones de la CPU y de la GPU e instalar soluciones antimalware) en sus servidores de comando y control (C2), lo que hace posible que los atacantes para elegir qué robot se puede usar en futuros ataques, entre una enorme lista de otras capacidades, desde la ejecución de comandos y secuencias de comandos hasta la ejecución de servidores proxy / HTTP.

Recomendamos:  Samsung Galaxy Fecha de lanzamiento de la Tab S6: la tableta se iniciar√° con un S Pen montado en la parte trasera y sin conector para auriculares

Una vez agregados a la botnet, cada uno de los bots puede ser utilizado por los operadores de la campa√Īa en los ataques DDoS, el prop√≥sito principal detr√°s de la botnet GoBotKR seg√ļn el equipo de investigaci√≥n de ESET, y para sembrar torrents como un m√©todo simple para propagar la infecci√≥n a otros. objetivos

Escaneando en busca de procesos en ejecución "altura =" 182 "ancho =" 687 "data-src =" https://www.bleepstatic.com/images/news/u/1109292/July 2019 / Escaneando en busca de procesos.png "clase = "b-perezoso" /><strong>Escaneo para procesos en ejecución</strong></figure>
<p>A pesar de que este malware de puerta trasera reci√©n descubierto hereda algunas de sus t√©cnicas de an√°lisis y evasi√≥n del malware GoBot2, tambi√©n agrega m√©todos de evasi√≥n espec√≠ficamente dise√Īados para objetivos surcoreanos, como verificar la direcci√≥n IP del bot usando las plataformas Naver y Daum en lugar de Amazon Servicios web y dnsDynamic.</p>
<p>También intentará detectar si se está ejecutando varios programas antivirus y analíticos de una lista codificada en la computadora comprometida y se terminará automáticamente y eliminará cualquier rastro si alguno de ellos se encuentra en ejecución.</p><div class='code-block code-block-3 ai-viewport-1 ai-viewport-2' style='margin: 8px auto; text-align: center; display: block; clear: both;'>
<div align=

Mimetismo utilizado en el proceso de infección.

Los actores de amenazas agregan un archivo LNK a las carpetas descargadas dise√Īadas para ejecutar la carga √ļtil de malware que se entrega en sus m√°quinas como un archivo malicioso de PMA, que es un archivo EXE renombrado dise√Īado para evitar la aparici√≥n de se√Īales de advertencia, camuflado con nombres que imitan a los instaladores de c√≥decs de video.

Para enga√Īar a los objetivos para que abran los archivos LNK, tienen nombres de archivos que imitan a los que las v√≠ctimas esperaban que tuvieran los videos, con videos MP4 con nombres id√©nticos escondidos dentro de otra carpeta.

Mientras que para los usuarios que logran encontrar los archivos MP4 ocultos y reproducirlos, no pasa nada, los que se enganchan a los trucos de los malos actores y hacen doble clic en los archivos LNK ejecutar√°n el malware en segundo plano, con el video oculto que se abre en primer plano Para ocultar la actividad maliciosa.

Recomendamos:  Los Sims 5 podr√≠an lanzarse pronto, de acuerdo con estos signos
Contenido de torrents maliciosos "altura =" 344 "ancho =" 478 "data-src =" https://www.bleepstatic.com/images/news/u/1109292/July 2019 / Contenido de torrents.png malicioso "class = "b-perezoso" /><strong>Contenidos de torrents maliciosos.</strong></figure>
<p>"Aumentar a√ļn m√°s la posibilidad de que los usuarios se caigan en la trampa es el hecho de que la extensi√≥n del archivo LNK normalmente no se muestra cuando se ve en Windows Explorador ", agrega el equipo de investigaci√≥n de ESET.</p><div class='code-block code-block-14' style='margin: 8px auto; text-align: center; display: block; clear: both;'>
<div data-ad=