MalwareHunterTeam
@malwrhunterteam
El investigador de seguridad MalwareHunterTeam descubrió hoy una nueva familia de malware que puede infectar los ordenadores y permitir al hacker controlar ordenadores que utilizan los comandos enviados a través de un canal de IRC.
Nombrado GhostAdmin , esta amenaza es parte de la categoría "botnet malware". De acuerdo con la información actual, el malware que ya se distribuye y despliega en ataques en vivo, se utiliza para apuntar posiblemente al menos dos empresas y robar cientos de GB de información.
De acuerdo con MalwareHunterTeam y otros investigadores que han analizado el código fuente del software malicioso, GhostAdmin parece ser una nueva versión de Crimescene, otra familia de malware botnet que estaba activa hace unos 3-4 años.
Bajo el capó, GhostAdmin está escrito en C # y ya se encuentra en la versión 2.0. El malware funciona mediante la infección de ordenadores, ganando la persistencia de arranque, y el establecimiento de un canal de comunicación con su servidor (C & C) de mando y control, que es un canal de IRC.
Los autores del GhostAdmin acceden a este canal de IRC y ejecutan comandos que serán recogidos por todos los robots conectados (computadoras infectadas).
El malware puede interactuar con el sistema de archivos de la víctima, navegar a direcciones URL específicas, descargar y ejecutar archivos nuevos, hacer capturas de pantalla, grabar audio, activar las conexiones de escritorio remoto, filtrar datos, eliminar archivos de registro, interactuar con bases de datos locales, limpiar el historial de navegación y más. Una lista completa de los comandos disponibles se encuentra disponible a través de la imagen de abajo:
Las características del software malicioso giran en torno a la capacidad de recoger datos de los equipos infectados y en silencio enviarlos a un servidor remoto.
GhostAdmin funciona basándose en un archivo de configuración. Entre los ajustes almacenados en este archivo, hay credenciales de FTP y correo electrónico .
Las credenciales de correo electrónico se utilizan para enviar un correo electrónico al autor GhostAdmin cada vez que una víctima ejecuta su software malicioso, y también enviar informes de errores.
MalwareHunterTeam dice que la versión GhostAdmin analizada fue compilada por un usuario que utiliza el apodo de "Jarad."
Como casi todos los autores de malware antes que él, Jarad logró infectar a su propio ordenador. El uso de las credenciales FTP que se encuentran en el archivo de configuración del software malicioso, MalwareHunterTeam encontró capturas de pantalla de escritorio de GhostAdmin del creador en el servidor FTP.
Por otra parte, el investigador también encontró en los mismos archivos del servidor lo que parece ser ha robado a sus víctimas GhostAdmin. Las posibles víctimas incluyen una compañía de lotería y un cibercafé. Sólo desde el cibercafé, aparentemente ha recogido 368GB de datos.
Desde la empresa de lotería, el botmaster GhostAdmin parece haber robado una base de datos de información de la celebración como nombres, fechas de nacimiento, números de teléfono, correos electrónicos, direcciones, información del empleados, y mucho más.
En comparación con otras familias de malware de botnets como Necurs o Andrómeda, que tienen millones de robots, GhostAdmin sólo a hecho sus primeras víctimas. En su forma actual, su GhostAdmin botmaster parece estar centrado en el robo de datos y la filtración de los mismos.
No hay comentarios:
Publicar un comentario