CONOCIMIENTO pertenece al mundo
En las últimas semanas, más o menos talentosos autores de malware han recurrido a nombrar a sus amenazas recién lanzados utilizando la marca "FSociety", hecho famoso por la serie de televisión Mr. Robot.
No es sorprendente que los autores de malware han recurrido a ocultar su código malicioso detrás de un nombre de marca hecha famosa en un programa de televisión sobre la piratería.
Algunas de las personas que trabajan en la comunidad infosec sido de esperar que esto suceda desde la primera temporada de Mr. Robot se convirtió en un éxito entre público y crítica.
Para nuestra sorpresa, la ola de malware temático-FSociety apareció solamente después de la temporada 2 había terminado mucho tiempo. La mayoría de nosotros espera que antes.
En el programa de televisión, el grupo FSociety lleva a cabo una serie de ataques increíblemente compleja que implican la ingeniería social, exploits de software, hardware hacks, y el malware.
En el mundo real, casi todas las muestras de malware que han utilizado el nombre FSociety, de una forma u otra, han fallado para impresionar y algunos de ellos han rayado en la pura incompetencia. Vamos a echar un vistazo a lo que algunos investigadores han encontrado.
EL GESTOR DE ARRANQUE DDOS
Descubierto por MalwareHunterTeam en diciembre, esto es un servicio DDoS gestor de arranque llamado "fs0ciety" y actualmente disponible a través de la página web de una empresa comercial del mercado de Italia.
Por el momento, no hemos podido verificar que esta empresa existe en el mundo real, si se aloja el servicio a propósito, o si su sitio web se compromete a alojar la página maliciosa fs0ciety gestor de arranque sin su conocimiento.
Lo que sabemos es que los usuarios están invitados a descargar la aplicación DDoS fs0ciety gestor de arranque para Windows, que viene con una sorpresa desagradable en forma de el programa de descarga de software malicioso Skeeyah.
EL BLOQUEADOR DE PANTALLA
Otra muestra de malware utilizando la marca FSociety es el bloqueador de pantalla FSOCIETY, desarrollado por un autor de malware de habla portuguesa.
Descubierto por el dominio del MalwareHunterTeam, este débil intento de desarrollar trabajos ransomware bloqueando el acceso a la pantalla y muestra un mensaje como el de abajo.
De acuerdo con MalwareHunterTeam, el bloqueador de pantalla FSOCIETY funciona mediante la infección de los usuarios, la descarga de los recursos fuera de MediaFire, y luego matar el acceso a Explorador de Windows y el Administrador de tareas.
Descubierto esta semana, este bloqueador de pantalla parece ser una versión actualmente en desarrollo. La última versión disponible de FSOCIETY se puede quitar simplemente escribiendo "Senha" en la pantalla de desbloqueo. Senha es la palabra portuguesa "contraseña".
EL (ASPIRANTE A LA PANTALLA LOCAL) REBOOTER
Probablemente la pieza más inútil de malware visto este nuevo año es otro bloqueador de pantalla conocida bajo el nombre de FSOCIETY bloqueo de pantalla.
Descubierto la semana pasada por el mismo MalwareHunterTeam, este bloqueador de pantalla no está relacionado con el primero.
La persona / grupo detrás de esta amenaza lanzada ayer a través de una cuenta de Twitter por Twitter un enlace a un VirusTotal escanear a varios investigadores y fabricantes de seguridad, tales como MalwareHunterTeam, ESET, Comodo, FSecure, Kaspersky Lab, Avast, Qihoo 360, Malwarebytes, Avira , squared, AVG, Sophos, Trend Micro, y MalwareTech.
En el momento de escribir esto, no pudimos determinar si se trata de algún tipo de engaño o truco publicitario. Sobre la base de un análisis de MalwareHunterTeam, este malware es sólo basura.
Este bloqueador de pantalla aspirante no logra alcanzar su propósito. Durante su proceso de infección, el BLOQUEO DE PANTALLA FSOCIETY añadirá un binario con diferentes nombres de 26 veces a la carpeta Inicio del ordenador con el fin de obtener la persistencia de arranque.
De acuerdo con MalwareHunterTeam, este mecanismo de persistencia de arranque se desperdicia como el malware se apaga inmediatamente el PC del usuario después de que se bloquee la pantalla del usuario con el siguiente fondo de pantalla.
EL CRIPTO-RANSOMWARE
Estos tres son sólo las muestras más recientemente descubiertos. A principios de 2016, los codificadores de malware poco más talento (pero no tanto talento) tuvieron la decencia de poner juntos mejores amenazas.
La primera ransomware FSociety fue descubierto en agosto. Basado en el código abierto kit de construcción de ransomware EDA2, el ransomware se encontraba en su fase de desarrollo alfa temprana y se cifra sólo unos pocos tipos de archivos utilizando un algoritmo de encriptación básica. Después de su descubrimiento, no hemos oído nada de él desde entonces.
El segundo ransomware FSociety fue descubierto en septiembre por los investigadores de seguridad de Fortinet. Esta amenaza, llamado alfa Fsociety se codificó en Python, y contenía fallas que permitieron a los investigadores de Fortinet para descifrar los archivos de los usuarios infectados.
La tercera ransomware FSociety fue encontrado en noviembre de 2016 el investigador de seguridad Malwarebytes S! Ri.
Esto también se basa en otro ransomware, que era la familia RemindMe. Al igual que la primera cripto-ransomware FSociety, este mostró un par de días en nuestros radares y nunca se supo de él.
Como se puede ver, todo el malware descubierto en los últimos cinco meses que llevaban el nombre de FSociety eran un intento de aficionados tras otro, con amenazas cada vez más ridícula medida que el tiempo pasaba.
Fuente: https: //www.bleepingcomputer.com/
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario