Nuevo malware ladrón de cookies en Android tiene como objetivo robar cuentas de Facebook


Las Cookies son pequeñas piezas de información que son utilizadas por los sitios web para diferenciar de un usuario de otro, así como rastrear las sesiones a través de diferentes sitios web, colocar servicios de contenido personalizado, y para distribuir cadenas de anuncios especializados para el usuario objetivo.

Recientemente un grupo de expertos ha encontrado un nuevo malware, que busca robar las cookies de autenticación de los usuarios de los exploradores web y otras aplicaciones, como Chrome y Facebook, instalados en dispositivos comprometidos. El malware nombrado “CookieThief” por los investigadores, es de tipo troyano, donde al lograr entrar en el dispositivo, trabaja para adquirir derechos de raíz como superusuario, y subsecuentemente, tomar las cookies, con la finalidad de ser transferidas a un servidor de comando y control (C2) remoto, operado por los atacantes

Los investigadores destacan que esta abusiva técnica no es posible por una vulnerabilidad en la aplicación de Facebook o en el navegador. El Malware puede robar los archivos de cookies de cualquier sitio web o de otras aplicaciones de la misma manera y lograr los mismos resultados.

Entre las funciones de las cookies está el permitir que en un dispositivo pueda permanecer conectado a un servicio sin tener que iniciar sesión repetidamente, CookieThief tiene como objetivo explotar este comportamiento, para permitir al atacante obtener acceso no autorizado a las cuentas de las víctimas, sin necesidad de conocer sus contraseñas de cuentas en línea reales. Los investigadores dicen que de esa manera, un cibercriminal puede armarse con una Cookie para hacerse pasar por una víctima desprevenida y utilizar la cuenta del usuario para beneficio personal.

El troyano puede aterrizar de diferentes maneras a un sistema, ya sea por medio de un aprovechamiento de una vulnerabilidad, una instalación de un archivo malicioso, entre otros. 

El nombre del paquete del malware CookieThief es “com.lob.roblox”, que es similar al cliente de juegos Roblox para Android (com.roblox.client), mas no tiene nada en común.

Características Maliciosas de CookieThief


Una vez el dispositivo está infectado, el malware conecta hacia una puerta trasera llamada “Bood”, localizada en “/system/bin/.bood”, lanzando un servidor local que ejecuta los comandos recibidos por CookieThief como superusuario.

Los expertos encontraron que en el servidor de comando y control (C2) una página que ofrece servicios de publicidad para distribuir spam en redes sociales y en mensajerías de texto, lo que no les dificulto adivinar el motivo detrás de las operaciones del malware.

Más el troyano tiene un método para burlar la seguridad establecida, por ejemplo, Facebook posee características de seguridad que detectan actividad anormal de un usuario, como detectar una conexión  que nunca ha iniciado sesión con la cuenta de dicho usuario anteriormente desde una IP, dispositivo o navegador, de dar dicha situación, la cuenta puede ser bloqueada. Para evitarlo los investigadores también encontraron otra aplicación maliciosa instalada en los dispositivos con CookieThief, con código similar y el mismo C2, llamado “Trojan-Proxy,AndroidOS.Youzicheng”, el cual permite usar el dispositivo de la víctima como servidor proxy, permitiendo evadir dichas características de seguridad. Al combinar estos dos ataques, el cibercriminal puede obtener el control sobre las cuentas de las víctimas sin levantar sospechas de Facebook.

Actualmente la amenaza está en etapa temprana, donde apenas ha comenzado a propagarse, según la data de los expertos, hay solo 1000 usuarios afectados, pero dicha cifra puede seguir creciendo.




Indicadores de Compromiso (IOCs)


Hash (MD5)

com.lob.roblox 
65a92baefd41eb8c1a9df6c266992730
f84a43b008a25ba2ba1060b33daf14a5
c9c252362fd759742ea9766a769dbabe

org.rabbit
c907d74ace51cec7cb53b0c8720063e1

Bood
8312e7c626cac368f0bd79c9c8da5bd7


Comando y Control (C2)
api-resource.youzicheng[.]net
api-rssocks[.]youzicheng[.]net
http[:]//guard[.]yoboxtool[.]com[:]8099
http[:]//zh[.]yomobi[.]net[:]8080




Fuente:

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Nuevo malware ladrón de cookies en Android tiene como objetivo robar cuentas de Facebook
Nuevo malware ladrón de cookies en Android tiene como objetivo robar cuentas de Facebook
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhr_gqd_u9eWDGXEavu7cMAUZN8d4azam8qpQEj40ZLRDctj0YyfceqJxGvUaTR-epHdQsA8Y6UzTe6ypiYccrEy9KltKjCP1bPqm8gseaT7eYi-1qz02rijasetXw6SnyyByor3jDYBG4/s640/CookiesThief+in+Android+for+Facebook.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhr_gqd_u9eWDGXEavu7cMAUZN8d4azam8qpQEj40ZLRDctj0YyfceqJxGvUaTR-epHdQsA8Y6UzTe6ypiYccrEy9KltKjCP1bPqm8gseaT7eYi-1qz02rijasetXw6SnyyByor3jDYBG4/s72-c/CookiesThief+in+Android+for+Facebook.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/03/nuevo-malware-ladron-de-cookies-en.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/03/nuevo-malware-ladron-de-cookies-en.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy