Detectado un malware que roba archivos de imagen a través de FTP … ¿Deberíamos preocuparnos?

Detectado un malware que roba archivos de imagen a través de FTP ... ¿Deberíamos preocuparnos? 1
Recientemente encontré una publicación interesante de Niranjan Jayanand, un investigador de McAfee y miembros de Facebook equipo y equipo de escalado de clientes. Los expertos anunciaron que su equipo ha detectado recientemente un troyano que puede robar cada rey de archivos de imagen de un Windows PC, incluido un volcado de memoria de la máquina víctima (archivos .dmp) y cárguelos en un servidor FTP.
Detectado un malware que roba archivos de imagen a través de FTP ... ¿Deberíamos preocuparnos? 2

Las actividades observadas son muy sospechosas, presagian que hay un ataque continuo por espionaje cibernético o una operación masiva de robo de información por cibercrimen. Esto podría ser solo una primera etapa de los ataques en los que se recopila información para iniciativas adicionales y complejas.
Los archivos de imágenes robados podrían usarse para chantajear a las víctimas y exigir un rescate, ni es la primera vez, recordemos lo que sucedió hace unos meses cuando robaron fotos de celebridades desnudas.

Este no es el uso único que podría suponer, las imágenes también podrían usarse para otros fines, podrían estar relacionadas con proyectos reservados o para escanear documentos, su exposición podría causar serios riesgos.

Pensemos también en la posibilidad de usar las imágenes para crear cuentas falsas para infiltrarse en las redes sociales y recopilar información sobre objetivos específicos en lugar de realizar un esquema de fraude más sofisticado. En el pasado, ataques de ingeniería social similares también han afectado a altos funcionarios de agencias gubernamentales.

También hay otro particular inquietante … ¿por qué los atacantes también están recopilando archivos .dmp?

Es muy probable que los atacantes estén interesados ​​en descubrir vulnerabilidades en máquinas infectadas; el volcado de memoria podría contener información útil sobre programas en ejecución de la PC víctima, datos que podrían usarse para adoptar exploits específicos en los ataques.

“A menudo se crean cuando un programa tiene un error de codificación y falla.

La recopilación de archivos .dmp podría ser realizada por un error tipográfico de los autores de malware, que podrían haber buscado archivos de imagen .bmp en su lugar “.

El troyano envía el archivo robado por FTP al servidor con la dirección IP 176.x.xxx.90 utilizando las siguientes credenciales FTP

• Nombre de usuario = “wasitnew”

• contraseña = “qiw2e3r4t5y6”.

Detectado un malware que roba archivos de imagen a través de FTP ... ¿Deberíamos preocuparnos? 3

El FTP no responde desde el 5 de noviembre, tal vez los autores están trabajando para mejorarlo o simplemente están reorganizando la ofensiva. La publicación se cierra con una mención al malware anterior más sofisticado y la forma en que los autores los controlaron, por ejemplo ocultando, utilizando métodos de esteganografía, las cadenas de comandos dentro de las imágenes enviadas a los agentes.

“Desde 2008, hemos visto archivos de imágenes que contienen archivos de imágenes incrustados dentro. Los autores de malware a veces ocultan sus comandos detrás de un archivo de imagen usando esteganografía”.

Esperando nuevas revelaciones interesantes … mantengamos actualizados nuestros sistemas de defensa.