Alerta de seguridad: El malware que roba contraseñas

Alerta de seguridad: El malware que roba contraseñas.

Un grupo de Hackers del que se sospecha está creado y mantenido por el gobierno de Corea del Norte, están distribuyendo los malware Powerful Joanap Backdoor y Brambul Server Message Block Worm por todo el mundo.

El DHS y el FBI recibieron la advertencia sobre este ciberataque en los EE.UU., sobre todo incidiendo en la infección sobre infraestructuras básicas y primordiales gubernamentales de los EEUU.

El grupo de Hackers se hace llamar HIDDEN COBRA

Los piratas norcoreanos (pongo en duda que esa sea su nacionalidad) han utilizado Joanap, que es una conocida herramienta de acceso remoto (RAT), y Brambul que es un Server Message Blockworm.

Se cree que vienen realizando estas practicas malignas de manera aleatoria espacio-tiempo, desde por lo menos el año 2009, y casi siempre apuntando a sectores tan delicados como pueden ser el aeroespacial, financiero y otros sectores de infraestructuras críticas.

En la alerta de seguridad , las agencias advierten que Joanap puede enviar los comandos ejecutados a los hackers de manera remota usando varias ip para no levantar sospechas. La infección se a dispersado con diferentes métodos, mails, archivos, etc…

Este es su twitter de aviso:

 

Debemos decir que Joanna es una poderosa puerta trasera que ademas tiene la capacidad de filtrar datos, descartar y ejecutar cargas secundarias, también es capaz de inicializar por si mismo comunicaciones proxy en el sistema o PC de la víctima.

Según us-cert , el análisis indica que el malware codifica los datos mediante el cifrado Rivest Cipher 4 para proteger su comunicación con los hackers. 

El grupo Hidden COBRA usa este archivo para capturar y almacenar información de las víctimas, como la dirección IP del host, el nombre de host y la hora actual del sistema.

De momento se han identificado 87 nodos de red que son susceptibles de estar comprometidos. las direcciones IP infectadas se identifican en estos países:

 

Por otra parte tenemos el gusano Brambul, que se dirige principalmente a Windows SMB de 32 bits que desplegará Brambul en la computadora/PC de la víctima a través de un archivo de enlaces dinámicos de servicio o bien un archivo ejecutable portátil.

Una vez que se ejecuta en la máquina de la víctima, intentará establecer la conexión con la subred de la máquina infectada y se conectará con toda la red local.

Si llega a obtener acceso acceso a la red, intentara obtener acceso no autorizado a través del protocolo SMB (puertos 139 y 445) lanzando ataques de fuerza bruta (bruteforce).

La información obtenida incluye la dirección IP y el nombre de host, así como el nombre de usuario y la contraseña, del sistema de cada víctima. Los hackers podrán usar esta información para acceder de forma remota al sistema comprometido a través del protocolo SMB.

 

Puedes leer el documento completo en su pagina oficial.

Malware que roba contraseñas, cuidado!!!!!!!

Alerta de seguridad: El malware que roba contraseñas
4.7 (93.33%) 3 Votos

Agregar comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.