El malware ladrón de información Gootkit regresa junto REvil Ransomware

0 0 martes, 1 de diciembre de 2020

Gootkit es un malware de tipo Troyano basado en Javascript, el cual posee varias capacidades maliciosas, como el acceso remoto para los actores de amenaza, capturador de pulsaciones del teclado, grabar el escritorio, robar correos electrónicos, robar contraseñas y inyectar scripts maliciosos para robar credenciales bancarias. 

Hasta ahora, no se había observado actividad de los actores maliciosos detrás de Gootkit, desde que los actores sufrieran de un filtrado de información por dejar una base de datos MongoDB expuesta a internet, hace aproximadamente un año.

Según un investigador en ciberseguridad, se detectó otra vez actividad del malware Gootkit en recientes ataques dirigidos observados hace una semana en Alemania. Esta nueva campaña, los actores de amenaza están hackeando sitios web basados en WordPress y utilizando motores de búsqueda envenenados para mostrar falsas publicaciones en el foro a los visitantes. En estas publicaciones se pretende hacer preguntas y respuestas con un enlace fraudulento de formularios o descargas.

Falsa publicación en el foro desplegada por campaña Gootkit - Malwarebytes


Cuando se hace click en el enlace, descarga un archivo ZIP el cual contiene un archivo Javascript ofuscado que instala el malware Gootkit o el ransomware REvil.

Archivo Javascript ofuscado - Malwarebytes


Cabe destacar que este mismo método de distribución de malware fue anteriormente utilizado por REvil en Septiembre 2019, aproximadamente al mismo tiempo cuando Gootkit detuvo sus actividades.

Cuando es ejecutada la secuencia JavaScript establece una conexión con el servidor de comando y control (C2) y descarga otros scripts que contienen carga útil (payload) maliciosa, su contenido usualmente es solo el malware Gootkit, pero en algunos casos también contienen el ransomware REvil.

Estas cargas útiles pueden ser almacenadas en codificación Base64 en dos formas:
  1. Cadenas hexadecimales en un archivo de texto
  2. Divididas en numerosos valores en un registro de Windows
Payload almacenado en registro de Windows


Cuando el cargador lee el payload en el registro o en el archivo de texto, lo descifra, iniciando el proceso fileless directamente en la memoria. Al utilizar este método, de ofuscar y dividir en varias partes los payload en el registro de Windows, dificulta que los software de seguridad las detecte.

Desde Arkavia Networks recomendamos encarecidamente que mantenga actualizados sus sistemas, software y antivirus, debido a que los parches de seguridad implementados en las actualizaciones de seguridad, como la detección de firmas actualizadas de los antivirus, mitigan muchas de las vulnerabilidades que suelen ser utilizadas por este tipo de troyanos.




Etiquetas:

COMPARTIR:

Twitter Facebook Google Pinterest

COMENTARIOS

BLOGGER
Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: El malware ladrón de información Gootkit regresa junto REvil Ransomware
El malware ladrón de información Gootkit regresa junto REvil Ransomware
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEid1PndyuFyodg9bLAoIL0bcNsq96puDmAPhCb57R-cD8fVhDqf3HV3fYy2y1ZsP-4EuLKJD4HvDIePCF-9wvGTqivWrxz4QNoxouK8SaYsC8bwTGDJZHlzfl9SUVk5mE36ouThBulvJ2A/w640-h320/GOOTKIT.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEid1PndyuFyodg9bLAoIL0bcNsq96puDmAPhCb57R-cD8fVhDqf3HV3fYy2y1ZsP-4EuLKJD4HvDIePCF-9wvGTqivWrxz4QNoxouK8SaYsC8bwTGDJZHlzfl9SUVk5mE36ouThBulvJ2A/s72-w640-c-h320/GOOTKIT.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/12/el-malware-ladron-de-informacion.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/12/el-malware-ladron-de-informacion.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy