8 sept 2016

Mokes: un nuevo malware multiplataforma

El malware multiplataforma cada vez cuenta con mayor protagonismo. Un tipo de sistema capaz de afectar a diferentes sistemas operativos cuya escalada ya fue prevista hace dos años por gData y que ahora vuelve a la palestra informativa de la mano Mokes.

En concreto se trata de un malware descubierto por Kaspersky que puede ejecutarse tanto en el sistema operativo de los de Redmond como en ordenadores que cuentan con Mac y Linux; y que pone en peligro la seguridad de sus usuarios.

Así y según ha informado la compañía, se trata de un peligroso malware cuyos orígenes se remontan a enero (al día 19, concretamente) de este mismo año, cuando la firma de antivirus rusa Dr. Web se topó con Linux.Ekocms, un troyano de puerta trasera que permitía a los atacantes realizar capturas de pantalla y grabar audio de las máquinas infectadas.

Diez días después, los analistas de Kaspersky dieron con su versión para Windows, una alternativa a la que se denominó Mokes. Tras unos meses de calma, este malware multiplataforma ha vuelto. Y esta vez lo ha hecho para infectar a dispositivos con Mac OS X. Otro sistema operativo en el que ya puede causar estragos. ¿La razón? Que está escrito en C++ usando Qt, un framework de aplicaciones multiplataforma, y está vinculado estáticamente a OpenSSL.

En concreto, el malware es capaz de recabar audio y vídeo de los sistemas de las víctimas, hacerse con todas las contraseñas guardadas en el sistema, tomar capturas de pantalla cada 30 segundos para conocer qué está haciendo su objetivo en cada momento, monitorizar el tecleo, robar documentos de Office, etcétera.

También incluye un amplio abanico de payloads y exploits que se ejecutan y es incluso capaz de controlar los puertos USB para saber cuando se conecta cualquier dispositivo a estas salidas. Una larga lista de funciones cuyo peligro se agrava si tenemos en cuenta que Mokes crea también un abultado número de copias en el sistema, tanto en las carpetas de Dropbox y Google Drive como en los directorios de distintas aplicaciones, lo que provoca que, no obstante eliminarlo, vuelva a sincronizarse y a actuar.

Lo peor del caso es que los especialistas de Kaspersky todavía desconocen cómo se distribuye este malware a través de internet y la autoría del mismo. No obstante, sí se sabe que se controla desde un servidor C&C remoto a través de una conexión cifrada como una petición TCP a través del puerto 80 con un algoritmo AES de 256 bits.

Fuente: Genbeta | SecureList | ZDNet

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!