Cómo verificar si tienes el malware Pinkslipbot

  • Owen Little
  • 0
  • 3868
  • 1141
Anuncio

De vez en cuando aparece una nueva variante de malware como un recordatorio rápido de que las apuestas de seguridad siempre están aumentando. El troyano bancario QakBot / Pinkslipbot es uno de ellos. El malware, no contenido con la obtención de credenciales bancarias, ahora puede permanecer y actuar como un servidor de control, mucho después de que un producto de seguridad detenga su propósito original..

¿Cómo permanece activo OakBot / Pinkslipbot? ¿Y cómo puedes eliminarlo completamente de tu sistema??

QakBot / Pinkslipbot

Este troyano bancario tiene dos nombres: QakBot y Pinkslipbot. El malware en sí no es nuevo. Se implementó por primera vez a fines de la década de 2000, pero sigue causando problemas más de una década después. Ahora, el troyano ha recibido una actualización que prolonga la actividad maliciosa, incluso si un producto de seguridad reduce su propósito original.

La infección utiliza plug-and-play universal (UPnP) para abrir puertos y permitir conexiones entrantes de cualquier persona en Internet. Pinkslipbot se usa para cosechar credenciales bancarias. El conjunto habitual de herramientas maliciosas: keyloggers, ladrones de contraseñas, ataques al navegador MITM, robo de certificados digitales, credenciales FTP y POP3, y más. El malware controla una red de bots que se estima que contiene más de 500,000 computadoras. (¿Qué es una botnet, de todos modos? ¿Tu PC es un zombi? ¿Y qué es una computadora zombie?). ¿Tu PC es un zombi? ¿Y qué es una computadora zombie? De todos modos [MakeUseOf explica]. ¿Alguna vez te has preguntado dónde está todo? ¿De dónde proviene el correo basura de Internet? Probablemente reciba cientos de correos electrónicos no deseados con filtro de correo basura todos los días. ¿Eso significa que hay cientos y miles de personas ahí fuera, sentadas ...)

El malware se centra principalmente en el sector bancario de EE. UU., Con un 89 por ciento de los dispositivos infectados que se encuentran en instalaciones bancarias de tesorería, corporativas o comerciales.

Crédito de imagen: IBM X-Force

Una nueva variante

Investigadores de McAfee Labs descubrieron la nueva variante Pinkslipbot.

“Como UPnP asume que las aplicaciones y dispositivos locales son confiables, no ofrece protecciones de seguridad y es propenso al abuso por parte de cualquier máquina infectada en la red. Hemos observado múltiples servidores proxy de control de Pinkslipbot alojados en computadoras separadas en la misma red doméstica, así como lo que parece ser un punto de acceso Wi-Fi público,” dice el investigador de McAfee Anti-Malware Sanchit Karve. “Hasta donde sabemos, Pinkslipbot es el primer malware que usa máquinas infectadas como servidores de control basados ​​en HTTPS y el segundo malware ejecutable que usa UPnP para el reenvío de puertos después del infame gusano Conficker en 2008.”

En consecuencia, el equipo de investigación de McAfee (y otros) están intentando establecer exactamente cómo una máquina infectada se convierte en un proxy. Los investigadores creen que tres factores juegan un papel importante:

  1. Una dirección IP ubicada en Norteamérica.
  2. Una conexión a Internet de alta velocidad..
  3. La capacidad de abrir puertos en una puerta de enlace de Internet utilizando UPnP.

Por ejemplo, el malware descarga una imagen usando el servicio de prueba de velocidad de Comcast para verificar que haya suficiente ancho de banda disponible.

Una vez que Pinkslipbot encuentra una máquina de destino adecuada, el malware emite un paquete de Protocolo simple de descubrimiento de servicios para buscar dispositivos Gateway de Internet (IGD). A su vez, se verifica la conectividad del IGD, con un resultado positivo al ver la creación de reglas de reenvío de puertos.

Como resultado, una vez que el autor del malware decide si una máquina es adecuada para la infección, un troyano binario se descarga e implementa. Este es responsable de la comunicación proxy del servidor de control.

Difícil de borrar

Incluso si su conjunto de antivirus o antimalware ha detectado y eliminado con éxito QakBot / Pinkslipbot, existe la posibilidad de que siga sirviendo como proxy de servidor de control para el malware. Es posible que tu computadora aún sea vulnerable, sin que te des cuenta.

“Las reglas de reenvío de puertos creadas por Pinkslipbot son demasiado genéricas para eliminarlas automáticamente sin arriesgar configuraciones erróneas accidentales de la red. Y como la mayoría del malware no interfiere con el reenvío de puertos, las soluciones antimalware pueden no revertir dichos cambios,” dice Karve. “Desafortunadamente, esto significa que su computadora aún puede ser vulnerable a ataques externos, incluso si su producto antimalware ha eliminado con éxito todos los archivos binarios de Pinkslipbot de su sistema.”

El malware presenta capacidades de gusanos Virus, Spyware, Malware, etc. Explicado: Comprender las amenazas en línea Virus, Spyware, Malware, etc. Explicado: Comprender las amenazas en línea Cuando empiezas a pensar en todas las cosas que pueden salir mal al navegar por Internet, la web comienza a parecer un lugar bastante aterrador. , lo que significa que puede autorreplicarse a través de unidades de red compartidas y otros medios extraíbles. Según los investigadores de IBM X-Force, ha causado bloqueos de Active Directory (AD), obligando a los empleados de las organizaciones bancarias afectadas a desconectarse durante horas seguidas..

Una breve guía de extracción

McAfee ha lanzado el Pinkslipbot Control Server Proxy Detección y herramienta de eliminación de reenvío de puertos (o PCSPDPFRT, para abreviar ... estoy bromeando). La herramienta está disponible para descargar aquí. Además, un breve manual de usuario está disponible aquí [PDF].

Una vez que haya descargado la herramienta, haga clic derecho y Ejecutar como administrador.

La herramienta escanea automáticamente su sistema en “modo de detección.” Si no hay actividad maliciosa, la herramienta se cerrará automáticamente sin realizar ningún cambio en la configuración de su sistema o enrutador.

Sin embargo, si la herramienta detecta un elemento malicioso, simplemente puede usar el / del comando para deshabilitar y eliminar las reglas de reenvío de puertos.

Evitar la detección

Es algo sorprendente ver un troyano bancario de esta sofisticación..

Aparte del mencionado gusano Conficker “La información sobre el uso malicioso de UPnP por malware es escasa.” Más pertinente, es una señal clara de que los dispositivos IoT que utilizan UPnP son un gran objetivo (y vulnerabilidad). A medida que los dispositivos de IoT se vuelven omnipresentes, debes reconocer que los ciberdelincuentes tienen una oportunidad de oro. (¡Incluso su refrigerador está en riesgo! El Smart Fridge de Samsung acaba de encenderse. ¿Qué tal el resto de su hogar inteligente? El Smart Fridge de Samsung acaba de encenderse. ¿Qué tal el resto de su hogar inteligente? El Reino Unido descubrió una vulnerabilidad con el refrigerador inteligente de Samsung Pen Test Parters, empresa basada en infosec. La implementación de encriptación SSL de Samsung no verifica la validez de los certificados).

Pero mientras Pinkslipbot pasa a ser una variante de malware difícil de eliminar, todavía solo ocupa el puesto número 10 en los tipos de malware financiero más frecuentes. El primer puesto aún lo ocupa el Cliente Maximus.

Crédito de imagen: IMB X-Force

La mitigación sigue siendo clave para evitar el malware financiero, ya sea ese negocio, empresa o usuario doméstico. Educación básica contra el phishing Cómo detectar un correo electrónico de phishing Cómo detectar un correo electrónico de phishing ¡Atrapar un correo electrónico de phishing es difícil! Los estafadores se hacen pasar por PayPal o Amazon, tratando de robar su contraseña y la información de su tarjeta de crédito, su engaño es casi perfecto. Te mostramos cómo detectar el fraude. y otras formas de actividad maliciosa dirigida Cómo los estafadores usan correos electrónicos de suplantación de identidad para dirigirse a los estudiantes Cómo los estafadores usan correos electrónicos de suplantación de identidad para dirigirse a los estudiantes El número de estafas dirigidas a los estudiantes está en aumento y muchos están cayendo en estas trampas. Esto es lo que necesita saber y lo que debe hacer para evitarlos. ir de manera masiva para detener este tipo de infección al ingresar a una organización, o incluso a su hogar.

Afectado por Pinkslipbot? ¿Fue en casa o en tu organización? ¿Estaba bloqueado fuera de su sistema? Háganos saber sus experiencias a continuación!

Crédito de imagen: akocharm a través de Shutterstock




Nadie ha comentado sobre este artículo todavía.

Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.