DropboxCache Malware

1
international institute of cyber securty
DropboxCache Malware Capacitación de hacking
ético curso de Seguridad Informática certificacion
es seguridad informática
2
DropboxCache Malware
El malware de Linux, llamado DropboxCache o
Backdoor.Linux.Mokes.a, se empaqueta con el
último Packer (UPX) y tiene la capacidad de
capturar el audio y tomar capturas de pantalla.
Se copia se mismo en otras áreas en el ordenador
y se conecta el servidor de comando y control (C
C), donde se carga y almacena los datos
robados. A continuación, se conecta a su servidor
codificado C C. A partir de este punto, se
realiza una petición http cada minuto según
Investigadores de curso hacking ético.
3
DropboxCache Malware
Según curso de Seguridad Informática, esta
petición de " heartbeat ", responde con una
imagen de un byte. Para cargar y recibir datos y
comandos, se conecta al puerto TCP 433 usando un
protocolo personalizado y el cifrado AES. El
binario viene con las claves públicas
codificadas. El malware que recoge la información
reunida desde el keylogger, capturas de audio y
capturas de pantalla en / tmp /. Más tarde, se
cargar datos a la el servidor. Al parecer, está
escrito en C y Qt, un marco de aplicación de
plataforma cruzada.
4
DropboxCache Malware
La puerta trasera para Windows es OLMyJuxM.exe o
Backdoor.Win32.Mokes.imv. Esto dirige la versión
de 32 bits del sistema operativo. Después de ser
embebido que se instala en una de las nueve
ubicaciones en AppData e instala las claves de
registro necesarias para mantener la
persistencia. keylogger del software malicioso a
continuación, se pone en marcha y también el
monitor de entradas de mouse que se cargan en el
servidor C C. No sólo eso, sino la versión de
Windows fue equipado además con una firma de
firma de código válido señalan expertos con
certificaciones de seguridad informática.
5
DropboxCache Malware
Maestro de curso de seguridad Informática,
 entonces se crean las claves del registro
correspondientes en HKCU\Software\Microsoft\Window
s\CurrentVersion\Run para asegurar la
persistencia en el sistema. Después de que el
malware ejecuta su propia copia en la nueva
ubicación, se utiliza la API SetWindowsHook para
establecer funciones de keylogger y supervisar
entradas de mouse y mensajes internos enviados a
la cola de mensajes. La siguiente etapa en su
funcionamiento es ponerse en contacto con el
servidor codificado C C. Además de las
direcciones IP y las claves de cifrado diferentes
a la versión de Linux.
6
Cómo funciona DropboxCache Malware
Investigadores de curso hacking ético mencionan
que el código también es capaz de capturar
imágenes desde una cámara conectada, tales como
una cámara web integrada. Desde el punto de vista
del criminal, es importante que el software
parece legítimo y que Windows no pide
confirmación al usuario antes de ejecutar
software desconocido. En máquinas Windows esto se
puede lograr mediante el uso de certificados de
firma de código de confianza. En este caso
particular, el criminal logró firmar el binario
con un certificado de confianza de " COMODO RSA
Code Signing CA ".
7
Cómo funciona DropboxCache Malware
Al igual que la variante de Linux, se conecta a
su servidor de C C de la misma manera una vez
por minuto envía una señal de transacción a
través de HTTP (GET / v1). Para recuperar los
comandos o para cargar o descargar los recursos
adicionales, que utiliza el puerto TCP 433. Se
utiliza casi las mismas plantillas de nombre de
archivo para guardar las imágenes obtenidas,
captura de audio, keylogs y otros datos
arbitrarios según expertos con certificaciones
seguridad informática de international institute
of cyber security
8
CONTACTO
www.iicybersecurity.com

• 538 Homero 303Polanco, México D.F
  11570 MéxicoMéxico Tel (55) 9183-5420633
  West Germantown Pike 272Plymouth Meeting, PA
  19462 United States Sixth Floor, Aggarwal
  Cyber Tower 1Netaji Subhash Place, Delhi NCR,
  110034IndiaIndia Tel 91 11 4556 6845