OhMyGeek!
Seguridad

Utilizan el mensaje ‘Je suis Charlie’ para propagar virus DarkComet RAT

por OhMyGeek!

Según la compañí­a Blue Coat, se ha identificado un malware que está siendo propagado ocultamente a través de mensajes titulados «Je suis Charlie», utilizado online para demostrar apoyo al semanario Charlie Hebdo de Parí­s.

El malware en cuestión es el famoso DarkComet RAT (conocido como Fynlonski), una herramienta gratuita de administración remota que también ha servido como puerta trasera para la entrada de un potente troyano. DarkComet fue inicialmente creado por el hacker francés DarkCoderSc, que abandonó su desarrollo en 2012. Sin embargo, su facilidad de uso y la riqueza y variedad de sus caracterí­sticas, lo han mantenido a la cabeza en su utilización por todo tipo de atacantes, desde «script kiddies» y activistas hasta actores mucho más perversos.

La variante utilizada en el presente ataque está oculta para evitar ser detectadas por los anti-virus. El código DarkComet Delphi está oculto dentro de un envoltorio .NET, haciendo que las señales de DarkComet muy difí­ciles de ser percibidos. Más aún, los í­ndices de detección de este ejecutable, a la hora de redactar este texto, es bastante bajo, sólo 2 de 53 escáneres son capaces de hacerlo online.

El malware "Je Suis Charlie" (DarkComet RAT) descarga una copia de sí­ mismo.
El malware «Je Suis Charlie» (DarkComet RAT) descarga una copia de sí­ mismo.

Como se puede ver en el ejemplo que acompaña, el malware descarga una copia de sí­ mismo con el nombre svchost.ext y lanza la imagen de un recién nacido, con una etiqueta que lleva el nombre «Je suis Charlie» escrito. La imagen parece haber sido tomada de fuentes públicas.

Fotografí­a usada para engañar al usuario.
Fotografí­a usada para engañar al usuario.

El ejemplo también lanza un mensaje en francés para despistar al usuario y hacerle creer que el binario ha sido creado en una versión previa de MovieMaker.

Lee:  Descubren malware publicitario en la App de la tienda APKPure

Je Suis Charlie malware virus 03

Los host de control y command es un subdominio dentro del dominio DNS dinámico no-ip. Éste es un servicio DNS dinámico legí­timo muy conocido, que muchas veces ha sido utilizado por actores maliciosos.

La dirección actual del dominio es snakes63.no-ip[.]org. Esta dirección dirige a una dirección IP localizada en Orange en Francia. La dirección IP francesa y el mensaje de error en francés refuerza la impresión de que el malware ha sido diseñado pensando en usuarios franceses. Blue Coat ha informado a las autoridades francesas de la existencia de este malware.

Te interesará ver

Descubren malware publicitario en la App de la tienda APKPure

OhMyGeek!

Falsa versión de Clubhouse robó acceso de otras 450 Apps

OhMyGeek!

¿Cómo mantener seguro tu canal de YouTube según Google?

OhMyGeek!

iPadOS y iOS 14.4: actualicen inmediatamente porque hay 3 fallas que hackers estarí­an aprovechando

OhMyGeek!

Phishing en Facebook te pide dar ‘Me gusta‘ a una foto para robar tus credenciales

OhMyGeek!

Rudo 2020: Chile registró un promedio de 5.000 ataques phishing al dí­a

OhMyGeek!

Deja un comentario

Recuerda mis datos en este navegador para la próxima vez que quiera comentar.

2 min
También compártelo en:
También compártelo en:
Send this to a friend