Semana de la seguridad 08: regresan los virus

Cuando se habla de amenazas informáticas, el "malware" a menudo se denomina malware, pero esto no es del todo correcto. El virus clásico es un fenómeno de la era anterior a Internet, cuando la información se transfería entre computadoras principalmente en disquetes, y para la distribución de código malicioso era necesario "adjuntarla" a los archivos ejecutables. La semana pasada, los expertos de Kaspersky Lab publicaron un estudio sobre el virus KBOT. Se propaga infectando archivos ejecutables y es el primer virus vivo visto en la naturaleza en los últimos años.

A pesar del método de infección probado con el tiempo, la funcionalidad de este malware está bastante actualizada: robando datos de pago y contraseñas y luego descargándolos a un servidor de comandos, proporcionando acceso remoto a la computadora infectada utilizando el protocolo estándar RDP. Si es necesario, KBOT puede descargar módulos adicionales del servidor, en otras palabras, proporciona un control total sobre el sistema. Todo esto es un conjunto de caballeros estándar de cualquier ciberataque moderno, pero aquí también estamos lidiando con una infección destructiva de archivos exe.

Después de iniciar el archivo infectado, KBOT se repara en el sistema y se registra en el programador de inicio y tareas. El estudio describe en detalle el proceso de infección de los archivos ejecutables: el virus los modifica para que no se conserve la funcionalidad original del programa. Debido a esto, los archivos se modifican solo en unidades lógicas enchufables: medios externos, unidades de red, etc., pero no en la partición del sistema; de lo contrario, en lugar de robo de datos, el sistema operativo estará completamente inoperativo. Entre otras cosas, KBOT es un virus polimórfico, es decir, cambia su código cada vez que se infecta un archivo.

El virus se encuentra con mayor frecuencia en Rusia y Alemania, pero el número total de ataques es relativamente pequeño. KBOT y sus módulos son detectados por las soluciones de Kaspersky Lab como Virus.Win32.Kpot.a, Virus.Win64.Kpot.a, Virus.Win32.Kpot.b, Virus.Win64.Kpot.b y Trojan-PSW.Win32.Coins .nav. El enfoque de distribución tradicional en este malware es interesante, pero no necesariamente efectivo. En primer lugar, almacenar archivos ejecutables en medios externos ahora es la excepción y no la regla. En segundo lugar, si el daño a los datos en un disco duro era normal para los virus hace 30 años, ahora la tarea de un ciberdelincuente es obtener acceso a los datos personales sin ser notado durante el mayor tiempo posible. La rotura de ejecutables no contribuye al sigilo.

Que mas paso

Se descubrió una vulnerabilidad crítica en el complemento GDPR Cookie Consent para Wordpress, un complemento simple para mostrar un mensaje como "usamos cookies en nuestro sitio web". El error permite que cualquier usuario registrado en Wordpress obtenga derechos de administrador. El problema es especialmente peligroso en sitios con registro abierto, por ejemplo, para comentar publicaciones. Aproximadamente 700 mil sitios están expuestos.

Se publica un estudio de F-Secure sobre la piratería de altavoces inteligentes de Amazon Alexa. Los especialistas se conectaron a la interfaz de depuración regular de la columna, arrancaron desde medios externos (una tarjeta SD conectada a los pines en la misma interfaz para la depuración) y obtuvieron acceso al sistema de archivos en el dispositivo. Este escenario le permite instalar malware en una columna.

La versión del navegador Firefox 73 cerró varias vulnerabilidades graves, incluida al menos una con la capacidad de ejecutar código arbitrario al visitar un sitio web "preparado".

Palo Alto Networks ha investigado ejemplos de configuraciones inseguras de Docker. A través de Shodan, se descubrieron ejemplos de servidores Docker Registry inseguros. En consecuencia, las imágenes Docker y las aplicaciones almacenadas en ellas estaban disponibles. Quinientos programas maliciosos se eliminaron

de la tienda de extensiones para el navegador Google Chrome : todos recopilaron datos de los usuarios y redirigieron a las víctimas a los sitios para la infección posterior de la computadora. Malwarebytes dijo

sobre un ejemplo interesante de un programa malicioso para Android, que se restaura después de reiniciar el dispositivo.