lunes, 19 de septiembre de 2016

El malware H1N1 vuelve a la carga con nuevas funciones

malware H1N1

Un conjunto de expertos de seguridad de las firmas Cisco y Proofpoint, en colaboración con otros investigadores independientes, ha descubierto que el malware H1N1 se está convirtiendo en un infostealer con capacidad pararobar información. 
El virus H1N1 es una vieja amenaza conocida. Hasta ahora, se trataba de un "malware downloader", un tipo de virus especializado en instalarse en el ordenador de la víctima de manera clandestina, eludiendo la seguridad del software antivirus, para después descargar programas maliciosos más potentes. 
Sin embargo, estos investigadores han podido observar que las versiones más recientes del malware H1N1 cuentan con nuevas funciones que ahora lo acercan más a la categoría de infostealer. Entre ellas, por un lado destacan unas novedosas técnicas de secuestro DLL y de ofuscación de código para explotar el UAC (User Access Control), que dificultan mucho la ingeniería inversa. 
Por otra parte, las nuevas versiones del virus disponen de propiedades de auto propagación, infectando los ordenadores cercanos de la misma red a través de recursos compartidos o mediante unidades USB. También elimina las shadow copies y desactiva las opciones de recuperación del sistema. 
Pero la nueva característica más peligrosa de las que han sido detectadas es que ahora este malware puede recopilar información de los ordenadores infectados. Por ejemplo, tiene la capacidad de robar las credenciales de inicio de sesión de diferentes cuentas a través de Firefox o del programa de correo electrónico, entre otras muchas posibilidades. Los datos son enviados a un servidor central C&C encriptados con el algoritmo RC4. 
Los expertos de Cisco alertan de que las nuevas peligrosas versiones del malware H1N1 se están propagando a través de campañas de spam, que han sido detectadas recientemente. Los cibercriminales utilizan un archivo malicioso de Microsoft Word que va adjunto en los mensajes y que emplea los macros para infectar el ordenador de la víctima. 
Los ataques se han producido principalmente contra organizaciones de los sectores financiero, energético, militar, gubernamental y de comunicaciones.

No hay comentarios:

Publicar un comentario