Malware está siendo propagado a través de falsas alertas de certificados de seguridad


La capa de conexión segura (SSL - Secure Sockets Layer) es un estándar de seguridad global que permite la transferencia de datos cifrados entre un navegador y un servidor web. Es utilizado por millones de empresas e individuos en línea, a fin de disminuir el riesgo de robo y manipulación de información confidencial (como números de tarjetas de crédito, nombres de usuario, contraseñas, correos electrónicos, etc.) por parte de hackers. Esto se realiza, por medio de un servidor web con certificado SSL (certificado digital), que hace las funciones de autenticar la identidad del sitio web y cifrar la información transmitida.

Recientemente se ha visto una nueva campaña de distribución de malware de puerta trasera (Backdoor) y troyanos por medio de una nueva técnica de phishing que intenta atraer a las víctimas ha aceptar una supuesta actualización de los certificados de seguridad del sitio web comprometido.

Han existido casos anteriores en que se han usado indebidamente los certificados proveídos por el “Certificate Authorities (CAs)”, donde los ciberdelincuentes se hacen pasar por ejecutivos para obtener certificados de seguridad. con el fines maliciosos. Ahora hay un nuevo enfoque de phishing para abusar de este mecanismo de confianza.

Los expertos que reportaron la reciente incidencia destacaron que la nueva técnica fue vista en una variedad de sitios web, donde los visitantes de los sitios web comprometidos se encontrarán con la siguiente pantalla:

Pantalla de falsa actualización de certificados de seguridad



La alerta reclama que los certificados de seguridad del sitio web están desactualizados, algo que debe ser un problema del propio dominio, pero el falso comunicado, transmite un mensaje de urgencia hacía la víctima, para que instale una “actualización del certificado de seguridad”. El mensaje demuestra su supuesta legitimidad al conservar la dirección del dominio legítimo comprometido, pero contiene dentro un iframe, el cual se carga a través de un script jquery.js desde un servidor de comando y control (C2) de un tercero. 

Los investigadores destacaron que el script jquery.js sobre coloca un iframe que es exactamente el mismo tamaño que la página web, como resultado, en vez de ver la página web original, el usuario ve un banner aparentemente genuino que solicita con urgencia instalar un actualización del certificado de seguridad.

En el momento que la víctima haga click en el botón de actualización, descargara un archivo como “Certificate_Update_v02.2020.exe”. De modo que al ser descomprimidos e instalados, el ejecutable entregará una de las dos variantes de malware, los cuales son Mokes o Buerak.

Mokes es un malware de puerta trasera para macOS o Windows, que puede tomar capturas de pantalla, además de robar datos de la PC, como archivos y contenido multimedia; se instala por persistencia y usa cifrado AES-256 para ocultarse disfrazando sus actividades.

Buerak es un Troyano basado en Windows, el cual puede ejecutar código, manipular procesos en ejecución, robar contenido, además de mantener su persistencia por medio de claves de registro, así como detectar diversas herramientas de análisis y sandboxing.



Indicadores de Compromiso (IoC)


Hash (MD5) - Certificate_Update_v02.2020.exe
B3290148681F8218ECB80CA430F9FDBA 

Hash (MD5) - Trojan-Downloader.Win32.Buerak
CE1931C2EB82B91ADB5A9B9B1064B09F

Hash (MD5) - Backdoor.Win32.Mokes
094ADE4F1BC82D09AD4E1C05513F686D
F869430B3658A2A112FC85A1246F3F9D
5FB9CB00F19EAFBF578AF693767A8754
47C5782560D2FE3B80E0596F3FBA84D3

IP - C2
47[.]245[.]30[.]255

C2
kkjjhhdff[.]site
oderstrg[.]site



Fuente:

COMENTARIOS

Nombre

Actualizaciones,4,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,APP,1,Apple,16,Apps,13,Arkavia Networks,15,asus,1,Ataques,5,Azure,2,Backdoor,4,Bancos,6,Bases de Datos,4,Bluetooth,1,Botnet,4,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,2,Ciberataque,4,Cibercrimen,131,Ciberdelincuencia,7,ciberseguridad,124,Cisco,1,Citrix,4,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,1,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,6,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,10,Datos,2,DDoS,4,Deep Web,5,dlink,1,DNS,1,Domains,1,Ecommerce,3,Emotet,1,Empresas,113,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Exchange,2,exploit,5,Exploits,11,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,Gmail,1,GoDaddy,1,google,32,Hacking,83,Hardware,7,Hosting,3,HTML5,1,IBM,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,Linux,8,Macromedia,1,Malware,39,Malwares,32,Messenger,1,MFA,1,Microsoft,34,Mirai,1,MSP,1,Mukashi,1,Nacional,10,NAS,1,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,16,Plugins,1,Protocolos,12,Python,1,QR,1,Ransomware,14,RAT,1,RCE,1,RDP,3,Recomendaciones,16,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rookit,1,Rootkit,1,Routers,2,RRSS,2,Salt,1,Salud,2,Servicios,5,Smartphones,29,SMB,4,Software,23,Sophos,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,Tplink,1,Trickbot,1,Trojan,1,Troyano,2,Update,5,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,3,Vulnerabilidad,22,Vulnerabilidades,74,Web,7,WhatsApp,5,wifi,5,Windows,15,Wordpress,4,XG,1,zeroday,2,Zoom,2,
ltr
item
Arkavia Networks News: Malware está siendo propagado a través de falsas alertas de certificados de seguridad
Malware está siendo propagado a través de falsas alertas de certificados de seguridad
https://1.bp.blogspot.com/-fE8gF9raHtk/XmKiWpHL1fI/AAAAAAAAB4s/jD98PAPSgVcygg9c9dR1UDlzT-tA_0FewCLcBGAsYHQ/s640/Backdoor%2BPhishing%2Bfalse%2BSSL.jpg
https://1.bp.blogspot.com/-fE8gF9raHtk/XmKiWpHL1fI/AAAAAAAAB4s/jD98PAPSgVcygg9c9dR1UDlzT-tA_0FewCLcBGAsYHQ/s72-c/Backdoor%2BPhishing%2Bfalse%2BSSL.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/03/malware-esta-siendo-propagado-traves-de.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/03/malware-esta-siendo-propagado-traves-de.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy