Saefko el RAT que mira tus historial de navegador para ayudar a los adversarios a formar un plan de ataque óptimo

Los investigadores de ciberseguridad han descubierto un nuevo troyano de acceso remoto que hurga en el historial de navegación de Chrome, para determinar qué sitios web ha visitado el usuario, lo que permite a los atacantes formular una estrategia de ataque óptimo basado en la información.

El RAT apodado como Saefko buscac mas de 70 sitios web diferentes afiliados a tarjetas de crédito, al menos 26 relacionados con la actividad de juego, al menos 71 relacionados con el valor de la criptomoneda, 54 sitios de compras y minoristas, y al menos 30 sitios de negocios y finanzas, más la actividad de las redes sociales.

El malware también recopila datos de la aplicación del usuario, incluidos detalles relacionados con el protocolo de Internet Relay Chat, la arquitectura de la máquina, la ubicación geográfica del sistema y la cantidad de veces que el usuario ha visitado sitios web específicos (por ejemplo, Instagram y Gmail) o categorías de sitios web (por ejemplo, sitios de juegos y sitios de compras). Toda esta información se filtra al servidor de comando y control.

Escrito en .NET, el malware es capaz de acceder y filtrar información confidencial, registro de teclas, capturar capturas de pantalla, activar la cámara web, formatear unidades, descargar programas adicionales y más, según los investigadores del equipo Zscaler ThreatLabZ, que descubrieron la amenaza a la venta en el web oscura

“Es una herramienta de administración remota de múltiples protocolos y sistemas operativos que se puede utilizar para lanzar el malware en dispositivos Windows y Android”.

Rajdeepsinh Dodia y Priyanka Bhati

Saefko contiene cuatro modelos de infección individuales, explica Zscaler en su informe. Para empezar, el HTTP Clinet (un error ortográfico probable del “Cliente”) establece las comunicaciones y las solicitudes de tareas entre la máquina infectada y el servidor C2. Los otros módulos incluyen el keylogger; el IRC Helper, que crea una conexión IRC maliciosa para realizar varios comandos; y Start USB Service, que descarga el malware en cualquier unidad extraíble conectada, lo que permite que Saefko se propague cuando esas unidades se conectan a otras máquinas.

Para proteger los sistemas de las RAT, los usuarios deben abstenerse de descargar programas o abrir archivos adjuntos que no sean de una fuente confiable.

“A nivel administrativo, siempre es una buena idea bloquear los puertos no utilizados, desactivar los servicios no utilizados y controlar el tráfico saliente”.

Rajdeepsinh Dodia

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: