elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recopilación Tutoriales y Manuales Hacking, Seguridad, Privacidad, Hardware, etc


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Troyano bancario logra distinguir usuarios humanos de máquinas virtuales y ...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Troyano bancario logra distinguir usuarios humanos de máquinas virtuales y ...  (Leído 1,324 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Troyano bancario logra distinguir usuarios humanos de máquinas virtuales y ...
« en: 25 Julio 2017, 21:33 pm »

 Una nueva versión del troyano bancario Ursnif incorpora tecnología que le permite eludir entornos de sandboxing y máquinas virtuales automatizadas utilizando los movimientos del ratón para detectar si un usuario real está interactuando con la computadora.
Diario TI 25/07/17 10:24:28

El procedimiento busca detectar si el puntero del ratón realiza movimientos en la pantalla, algo propio de los usuarios humanos, que no ocurre en pruebas de seguridad y entornos de análisis de malware, donde el puntero permanece en la misma posición durante todo el proceso de análisis.

La información ha sido publicada en el blog de Forcepoint Security, empresa que en enero de 2016 informaba que el mismo troyano utilizaba técnicas de evasión basadas en el protocolo de hipertexto HTTP.

En esta oportunidad, la empresa ha descubierto un nuevo procedimiento al analizar una variante de Ursnif anexa a un documento cifrado de Word que a su vez contiene archivos VBS cargados de archivos DLL malignos. DLL, o bibliotecas de enlaces dinámicos o bibliotecas de enlaces dinámicos son archivos con código ejecutable que se cargan por el sistema operativo a petición de un programa específico.

El mensaje de correo electrónico que incluye el documento Word maligno incorpora una contraseña que permite abrirlo. Una vez abierto, presenta tres iconos con la extensión “.docx” que induce a los usuarios a hacer doble clic directamente en ellos. Sin embargo, no se trata de documentos Word sino de scripts VBS (Visual Basic) que, una vez activados, descargan malware desde dos dominios.

Las DLL malignas contienen grandes cantidades de código de abultamiento, cuya finalidad es ofuscar los intentos de análisis realizado por software de seguridad. Una vez conseguido este propósito, los archivos son ejecutados, procediendo a realizar procedimientos de detección de sandboxing y de máquinas virtuales, entre otros.

Control Anti-sandboxing
En su análisis, ForcePoint escribe que el malware intenta detectar movimientos del ratón estableciendo sus coordenadas. Al conseguirlo, evita entornos de sandbox, donde el puntero del ratón permanece inmóvil. El procedimiento implica que al detectar un entorno de sandboxing, Urniff bloquea la ejecución del troyano. Por el contrario, al detectar un entorno humano, activa el malware.

https://diarioti.com/troyano-bancario-logra-distinguir-usuarios-humanos-de-maquinas-virtuales-y-sandboxing/105127


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
¿uso de GPU en máquinas virtuales?
Software
tribes 2 4,321 Último mensaje 24 Marzo 2011, 12:38 pm
por tribes
¿Maquinas virtuales con GPU?
GNU/Linux
tribes 2 4,882 Último mensaje 24 Marzo 2011, 12:26 pm
por tribes
Maquinas virtuales.
Software
B€T€B€ 2 2,457 Último mensaje 24 Mayo 2011, 07:34 am
por SuperDraco
¿Troyano utilizando maquinas virtuales?
Análisis y Diseño de Malware
ApOkAlizE 1 2,649 Último mensaje 12 Septiembre 2011, 00:17 am
por Karcrack
El troyano bancario Qadars se dirige a los usuarios de los Países Bajos
Noticias
wolfbcn 0 1,644 Último mensaje 19 Diciembre 2013, 02:17 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines