Noticias: Malware en memoria Ram

Aprende y comparte como combatir objetos maliciosos en computacion.
Responder
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Noticias: Malware en memoria Ram

Mensaje por paulofutre »

Noticia que creo de interès para los "habitantes" de este foro.
Me ha resultado muy curioso esta nueva forma de infecciòn detectada: No infecta el disco duro, infecta a travès de la memoria RAM (?¡¡) :plano8

Las redes de ordenadores zombi infectan también a móviles y macs
A pesar de los esfuerzos de las empresas de seguridad, cada vez hay más 'botnets' y son más sofisticadas
Imagen
Según Kaspersky, la empresa rusa de seguridad informática, las redes de ordenadores zombis o 'botnets' han aumentado en 2012. Tanto en número como en variantes. Los ciberdelincuentes han innovado en este campo y han creado nuevas redes con las que controlar distintos equipos de los usuarios. En el primer trimestre del año se han detectado un gran número de programas maliciosos que buscaban la creación de 'botnets' con dispositivos móviles y ordenadores Apple.

Las 'botnets' ya son una de las herramientas más utilizadas por los ciberdelincuentes, afirman desde Kasperski. Se trata de herramientas peligrosas , que otorgan una gran potencia para perpetrar nuevos ataques. Microsoft y otras compañías de seguridad trabajan duro para luchar contra unas redes de ordenadores infectados que no paran de crecer.

Además de aumentar el número de equipos infectados, también crecen el número total de redes zombi. Desde Kaspersky han explicado que "estas tecnologías han evolucionado en los últimos años y han surgido redes zombi descentralizadas, móviles y administradas por redes sociales". La compañía ha repasado estos nuevos tipos, que poco a poco aumentan en popularidad.

Una de las variantes de red de equipos controlados ha sido bautizada como la "bot invisible". La compañía de seguridad ha explicado que este nuevo sistema, detectado en el primer trimestre de 2012, utiliza una nueva tecnología. Los ciberdelincuentes utilizan una extraña categoría de malware que solo existe en la memoria RAM del ordenador.

La naturaleza de este sistema hace que sea complicada su identificación. "El problema se manifiesta en forma de anomalías en los ordenadores infectados, que comienzan a enviar peticiones de red tras visitar algunos sitios web populares en Internet", ha explicado Kaspersky. No se encuentran archivos ejecutables en los discos duros, lo que hace que sea complicado saber que los ordenadores están infectados.

Redes zombi móviles


Otra tendencia consolidada tiene que ver con el control de dispositivos móviles. Los ciberdelincuentes han apostado por los 'smartphones' y 'tablets' como nuevos objetivos, especialmente por los que utilizan Android.

Según Kaspersky, en el primer trimestre de este año se detectaron 5.444 programas maliciosos para el sistema de Google, lo que da una idea del interés en el sistema. En concreto, el total de programas maliciosos dirigidos a Android se ha multiplicado por nueve durante el último trimestre.

El gran número de programas maliciosos para Android ha generado distintos casos de 'botnets' en el sistema. Parece que los ciberdelincuentes chinos y rusos son los que más interés tienen en Android. Por ejemplo, una red zombi promovida por un grupo de programadores chinos consiguió tener entre 10.000 y 30.000 dispositivos activos, llegando a infectar a cientos de miles de 'smartphones'.

Desde Kaspersky han explicado que esta importante 'botnet' de Android se consiguió gracias a un troyano denominado RootSmart, especializada en el control remoto de dispositivos. Este troyano se distribuía a través de una aplicación original distribuida en tiendas no oficiales.

Las redes zombis de dispositivos móviles tienen efectos más directos respecto a los usuarios. En el caso de las 'botnets' de ordenadores, los ciberdelincuentes controlan los equipos para, por ejemplo, realizar campañas de 'spam'. En el caso de las 'botnets' móviles, muchas veces se usan para realizar envíos de SMS con tarificación especial, lo que repercute de forma directa en los usuarios. En estos casos, los ciberdelincuentes utilizan troyanos como RootSmart que dan un control total de los dispositivos, con lo que pueden ocultar sus acciones.

Botnet para Mac

El sistema Mac de Apple también ha sido triste protagonista del mundo de las 'botnet' en el primer semestre del año. Los investigadores identificaron casos en el sistema de Apple, que hasta el momento había sido uno de los sistemas más seguros.

Flashfake ha sido el troyano que ha acaparado la atención en los últimos meses. Flashfake ha conseguido aprovechar una vulnerabilidad en Mac para infectar equipos y crear una 'botnet'. Los cibercriminales diseñaron el sistema para dificultar su detección, lo que ha ayudado a potenciar sus efectos.

Después de que se detectara el virus, los cibercriminales han variado su composición y sus canales de distribución, dificultando las medidas de seguridad y prevención. Flashfake ha sido un problema importante que ha conseguido que se ponga en duda el sistema de Apple.

Desde Kaspersky han explicado que el principal objetivo de la bot creada por FlashFake era descargar y ejecutar módulos adicionales sin que el usuario se diese cuenta. De esta forma, "los ciberdelincuentes ganaban dinero por la generación de falsos resultados en los motores de búsqueda". Se trata de un ejemplo más de los intereses económicos de los ciberdelincuentes.

FUENTE: http://www.abc.es/20120619/tecnologia/a ... 91313.html

Saludos.
Saludos y ♪Forzatleti♫
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

FILELESS: Malware que se instala en la memoria RAM

Mensaje por paulofutre »

Amplio este tema que me ha llamado la atenciòn, con otras noticias:

Fileless: nuevo malware que ataca la RAM en Windows y Mac
La empresa de seguridad Kaspersky Labs da a conocer un malware que se instala en la memoria RAM del equipo afectado.
20/03/2012 - El malware Fileless o Trojan-Spy.Win32.Lurk, explota una vulnerabilidad Java (CVE-2011-3544) como parte de una serie de ataques que han empezado a tener lugar recientemente.

Llama la atención que Fileless inyecta una dll (dynamic link library) cifrada de la web directamente en la memoria del proceso javaw.exe de forma que no crea nuevos archivos en el disco duro cuando infectan los ordenadores a los que ataca. Además al ejecutarse dentro de un proceso considerado como de confianza, su detección es muy difícil para la mayoría de soluciones antivirus.

Una vez que el malware Fileless se instala en el sistema, ataca al control de cuentas de usuarios de Windows para instalar el troyano Lurk y hacer que el sistema forme parte de una red ordenadores "zombie" o Botnet.

Hasta el momento el único método conocido para la propagación de Fileless ha sido a través de banners de varios sitios entre los que destaca la versión online de un popular periodico ruso y otras agencia del mismo país. No obstante los investigadores señalan la posibilidad de que esta amenaza se extienda a otros países.

Respecto a la protección contra esta amenaza, es altamente recomendable que todos los usuarios instalen un parche que cierra la vulnerabilidad CVE-2011-3544 en Java. Ésta es actualmente la única forma segura de prevenir la infección.

Fileless afecta a usuarios de sistemas Windows y Mac OS X. Interesados pueden encontrar completa información sobre este nuevo malware desde la página del investigador de Kaspersky que ha dado a conocer la noticia.

FUENTE: http://www.desarrolloweb.com/actualidad ... -6699.html



Malware Fileless cargado en RAM, peligroso y difícil de detectar

Imagen
Kaspersky Lab ha alertado de un nuevo ataque drive-by download que inyecta un tipo de malware cuya particularidad radica en su tecnica de entrada ya que no deja rastro en el disco duro instalándose en la memoria RAM de los ordenadores.

Este malware ha aparecido en portales legítimos de noticias rusos ria.ru y gazeta.ru, aunque a estas horas puede estar ya en cualquier sitio. El método de ataque es el conocido Drive-by-Download o infección masiva a través de sitios web que aprovecha vulnerabilidades de los mismos (en este caso Java-CVE-2011-3544) para inyectar código malicioso entre su código original.

El exploit no se aloja en los sitios web afectados distribuyéndose a través de los visitantes de los sitios mediante banners de servicios de publicidad AdFox.

Al igual que una infección normal, el malware intenta apoderarse de todos los privilegios en las máquinas infectadas con el objetivo final de conseguir principalmente las contraseñas de banca en línea.

Sin embargo, en este caso, no instala malware en el disco duro. En su lugar, inyecta una dll cifrada directamente en memoria en el proceso javaw.exe. Obviamente se descarga en el reinicio o apagado del equipo pero ya es tarde ya que deja instalado el troyano Trojan-Spy.Win32.Lurk conectado a redes de bots.

Este tipo de malware basado en memoria RAM es extremadamente difícil de detectar y afecta a todos los sistemas operativos. Además de una solución de seguridad lo mejor es prevención anterior usando software actualizado que resuelva las vulnerabilidades que utilizan, en especial navegadores y complementos instalados.

FUENTE: http://muyseguridad.net/2012/03/20/malw ... -detectar/

Saludos.
Saludos y ♪Forzatleti♫
Responder

Volver a “Infecciones y Soluciones - Virus, Trojanos, Spyware, Rogue, Malware, etc.”