Según curso de Seguridad Informática, esta petición de " heartbeat ", responde con una imagen de un byte. Para cargar y recibir datos y comandos, se conecta al puerto TCP 433 usando un protocolo personalizado y el cifrado AES.
2. El malware de Linux, llamado DropboxCache o
Backdoor.Linux.Mokes.a, se empaqueta con el
último Packer (UPX) y tiene la capacidad de
capturar el audio y tomar capturas de pantalla. Se
copia se mismo en otras áreas en el ordenador y se
conecta el servidor de comando y control (C & C),
donde se carga y almacena los datos robados. A
continuación, se conecta a su servidor codificado C
& C. A partir de este punto, se realiza una petición
http cada minuto según Investigadores de curso
hacking ético.
DropboxCache Malware
3. Según curso de Seguridad Informática, esta
petición de " heartbeat ", responde con una
imagen de un byte. Para cargar y recibir datos y
comandos, se conecta al puerto TCP 433 usando
un protocolo personalizado y el cifrado AES. El
binario viene con las claves públicas codificadas.
El malware que recoge la información reunida
desde el keylogger, capturas de audio y capturas
de pantalla en / tmp /. Más tarde, se cargar datos
a la el servidor. Al parecer, está escrito en C ++ y
Qt, un marco de aplicación de plataforma
cruzada.
DropboxCache Malware
4. La puerta trasera para Windows es
OLMyJuxM.exe o Backdoor.Win32.Mokes.imv.
Esto dirige la versión de 32 bits del sistema
operativo. Después de ser embebido que se
instala en una de las nueve ubicaciones en%
AppData% e instala las claves de registro
necesarias para mantener la persistencia.
keylogger del software malicioso a continuación,
se pone en marcha y también el monitor de
entradas de mouse que se cargan en el servidor
C & C. No sólo eso, sino la versión de Windows
fue equipado además con una firma de firma de
código válido señalan expertos con
certificaciones de seguridad informática.
DropboxCache Malware
5. Maestro de curso de seguridad Informática,
entonces se crean las claves del registro
correspondientes en
HKCUSoftwareMicrosoftWindowsCurrentVersio
nRun para asegurar la persistencia en el sistema.
Después de que el malware ejecuta su propia
copia en la nueva ubicación, se utiliza la API
SetWindowsHook para establecer funciones de
keylogger y supervisar entradas de mouse y
mensajes internos enviados a la cola de mensajes.
La siguiente etapa en su funcionamiento es
ponerse en contacto con el servidor codificado C
& C. Además de las direcciones IP y las claves de
cifrado diferentes a la versión de Linux.
DropboxCache Malware
6. Investigadores de curso hacking ético mencionan
que el código también es capaz de capturar
imágenes desde una cámara conectada, tales
como una cámara web integrada. Desde el punto
de vista del criminal, es importante que el software
parece legítimo y que Windows no pide
confirmación al usuario antes de ejecutar software
desconocido. En máquinas Windows esto se puede
lograr mediante el uso de certificados de firma de
código de confianza. En este caso particular, el
criminal logró firmar el binario con un certificado de
confianza de " COMODO RSA Code Signing CA ".
Cómo funciona DropboxCache
Malware
7. Al igual que la variante de Linux, se conecta a su
servidor de C & C de la misma manera: una vez por
minuto envía una señal de transacción a través de
HTTP (GET / v1). Para recuperar los comandos o para
cargar o descargar los recursos adicionales, que
utiliza el puerto TCP 433. Se utiliza casi las mismas
plantillas de nombre de archivo para guardar las
imágenes obtenidas, captura de audio, keylogs y
otros datos arbitrarios según expertos con
certificaciones seguridad informática de
international institute of cyber security
Cómo funciona DropboxCache
Malware
8. CONTACTO www.iicybersecurity.com
538 Homero # 303
Polanco, México D.F 11570
México
México Tel: (55) 9183-5420
633 West Germantown Pike #272
Plymouth Meeting, PA 19462
United States
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845