elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Los ciberdelincuentes utilizan un nuevo backdoor de Linux para robar ...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Los ciberdelincuentes utilizan un nuevo backdoor de Linux para robar ...  (Leído 1,842 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Los ciberdelincuentes utilizan un nuevo backdoor de Linux para robar ...
« en: 14 Noviembre 2013, 19:08 pm »

Los investigadores de Symantec han detectado una operación de los ciberdelincuentes que se basa en una nueva puerta trasera (backdoor) de Linux, llamada Linux.Fokirtor, para robar datos sin ser detectados.

Un ataque en el cual los hackers aprovecharon la puerta trasera de Linux fue lanzado en mayo de 2013 contra un gran proveedor de alojamiento web. Los ciberdelincuentes obtuvieron acceso a nombres de usuario, contraseñas, direcciones de correo electrónico y posiblemente incluso información financiera.

El tráfico o los archivos sospechosos habrían dado lugar inmediatamente a una revisión de seguridad, así que los atacantes han desarrollado una puerta trasera de Linux que se esconde en procesos como Secure Shell (SSH).

En lugar de abrir sockets de red o comunicarse con servidores de comando y control (C&C), la amenaza se inyecta en un proceso y monitoriza el tráfico para ciertas secuencias de caracteres. Cuando se detecta el patrón ":!;." (sin comillas), el backdoor empieza a extraer comandos codificados.

Los comandos son cifrados con Blowfish y codificados en Base64.

“Luego, el atacante podría realizar solicitudes de conexión normales a través de SSH u otros protocolos y simplemente insertar esta secuencia secreta dentro del tráfico legítimo para evitar la detección. Después de la ejecución de los comandos, el resultado es enviado al atacante", explican los expertos en un blog.

Linux.Fokirtor es capaz de cifrar datos robados usando Blowfish y enviarlos a los ciberdelincuentes; recopilar información como el nombre de host, dirección IP, puerto, nombre de usuario y contraseña desde las conexiones SSH; y ejecutar varios comandos preconfigurados o enviados por el atacante.

Para identificar esta particular puerta trasera, se recomienda que las organizaciones monitoricen su tráfico para identificar la cadena ":!;.". También hay una lista de cadenas en el volcado de procesos SSHD que pueden utilizarse para detectar el malware. Los expertos señalan que los registros de SSH no contienen la cadena ":!;.".

Symantec dice que esta es la primera vez cuando ha analizado tal malware de Linux. Detalles técnicos adicionales sobre esta amenaza están disponibles en el blog de la compañía.

http://news.softpedia.es/Los-ciberdelincuentes-utilizan-un-nuevo-backdoor-de-Linux-para-robar-informacion-de-distintas-companias-400225.html


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines