Deje que InnfiRAT entre, y sus contraseñas y datos de billetera criptográfica pueden ser robados

InnfiRAT Steals Passwords and Cryptocurrency Wallets

Se podría pensar que robar el dinero de las personas a través de Internet no es tan difícil. Simplemente compromete algunos detalles de la tarjeta de crédito o algunas credenciales bancarias en línea, y está listo para comenzar. La cosa es que es un poco más complicado que eso.

Debido a que hay tantos cibercriminales por ahí, los bancos y las instituciones financieras han tomado las precauciones necesarias para garantizar que sus clientes estén mejor protegidos. Los mecanismos actuales contra el fraude significan que, aunque no es imposible, robar dinero en línea es mucho más difícil de lo que solía ser, y las posibilidades de ser atrapado son mucho más significativas. Es por eso que muchos delincuentes están más interesados en la criptomoneda. El seguimiento de las transacciones con monedas digitales es mucho más complicado, y robarlas no es tan difícil. Así es como lo hacen los operadores del nuevo malware InnfiRAT.

InnfiRAT: un recién llegado a un mercado superpoblado

InnfiRAT es un nuevo troyano de acceso remoto (o RAT, como su nombre lo indica) que fue descubierto y analizado recientemente por investigadores de Zscaler. El malware fue escrito en .NET, y tiene una afinidad especial por las billeteras de criptomonedas, aunque, como veremos en un minuto, sus capacidades van mucho más allá.

Desafortunadamente, Zscaler no dio demasiada información sobre cómo se está utilizando el malware. Aparentemente, lo han visto en la naturaleza, pero no dijeron nada sobre cuán grande es la campaña y a quién va dirigida. El informe tampoco contiene detalles sobre cómo se infectan las víctimas, aunque si tenemos que adivinar, probablemente diríamos que InnfiRAT sigue el ejemplo de otras cepas de malware de este tipo y se distribuye con la ayuda de correos electrónicos no deseados. Afortunadamente, los investigadores sí incluyeron mucha información sobre lo que hace InnfiRAT una vez que se encuentra en la computadora de la víctima.

Las técnicas de sigilo y detección-evasión abundan

Como era de esperar, InnfiRAT viene con algunas características diseñadas para confundir a los investigadores de seguridad y los productos antimalware. Cuando se ejecuta por primera vez, se copia a sí mismo como NvidiaDriver.exe en la carpeta% AppData%. Luego escribe un archivo ejecutable portátil codificado en Base64 en la memoria, y comienza con algunas comprobaciones para asegurarse de que no se esté ejecutando bajo la atenta mirada de los ingenieros inversos.

El malware verifica y verifica dos veces diferentes datos sobre el dispositivo que está tratando de infectar para asegurarse de que no se haya colocado en una máquina virtual. Se miran cosas como el nombre de la computadora, la cantidad de núcleos y la cantidad de procesadores lógicos, y si InnfiRAT encuentra ciertas palabras clave, termina inmediatamente. Por si acaso, también está diseñado para ejecutar la lista de procesos y buscar el Administrador de tareas de Windows, así como algunas otras herramientas que los profesionales de seguridad usan regularmente. Si determina que es lanzado por una persona normal en una PC normal, InnfiRAT continúa con su operación.

Envía la IP pública de la víctima, junto con otra información, de regreso al servidor de Comando y Control (C&C). Por razones que no están completamente claras, elimina todos los procesos del navegador en ejecución y establece la persistencia con la ayuda de una tarea programada.

Una rata de múltiples talentos

Una vez que se completa la infección, InnfiRAT espera las instrucciones de los C&C. Al igual que con cualquier malware de este tipo, la funcionalidad es tan variada como los comandos que envía C&C.

Cuando se trata de robo de información, la atención se centra en las billeteras de criptomonedas y las cookies del navegador. InnfiRAT está diseñado para buscar las carpetas "Bitcoin" y "Litecoin" dentro de% AppData%. Si los encuentra, copia los datos del archivo wallet.dat y los envía de vuelta a los C&C. El malware también roba las cookies de navegación de los navegadores más populares que luego pueden usarse para comprometer cuentas completas en línea.

Además de las cookies y las cuentas de criptomonedas, InnfiRAT también puede robar archivos de texto de menos de 2 MB, lo que puede exponer información aún más confidencial. Hablando de eso, el malware tiene la capacidad de eliminar procesos que podrían permitirle desactivar los productos de seguridad que podrían intentar detenerlo. Y una vez que lo hace, puede ejecutar comandos en la máquina infectada y descargar cargas útiles adicionales, lo que significa que las oportunidades para un ataque son más o menos ilimitadas.

InnfiRAT sigue siendo una nueva familia de malware, lo que significa que tiene mucho espacio para evolucionar. Los investigadores de Zscaler prometieron que lo vigilarán de cerca, y dado lo peligroso que es, es seguro decir que los usuarios también deben ser un poco más cuidadosos.

September 20, 2019
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.