Cómo utilizar el backdoor GCAT con Gmail como servidor C&C

La puerta trasera GCAT es un backdoor con todas las funciones que puede ser controlado mediante el uso de Gmail como servidor de comando y control con múltiples ventajas para los atacantes.



Establecer una puerta trasera es una de las principales metas para un atacante con el fin de lograr persistencia en las máquinas de destino. Hay muchas herramientas de hacking que permiten fácilmente crear puertas traseras, muchas de estas herramientas son utilizadas a diario por pruebas de  penetración profesionales cuando tratan de explotarlos para comprometer un objetivo o para mantener el control total sobre ellos.

La creación de una puerta trasera permite a un atacante conectarse a la máquina de la víctima con el fin de enviar y ejecutar algunos comandos, enviar y manipular archivos y la configuración de administración de acceso del sistema.

Hoy les presentamos GCAT que es una puerta trasera con todas las funciones que puede ser controlada mediante el uso de Gmail como servidor de comando y control, esto significa que el atacante puede enviar instrucciones al sistema remoto a través de una cuenta de Gmail.
Como puedes imaginar fácilmente esta característica es muy importante porque ayuda a mantener oculta la puerta trasera para así evadir los mecanismos de detección clásicos basados en el análisis del tráfico.
El tráfico desde una cuenta de Gmail nunca levantaría sospechas a los administradores de la red y nunca se disparará una alarma, también considera que la arquitectura de comando y control será siempre y accesible, un factor vital para los botmasters.


El código relacionado con la puerta trasera GCAT está disponible en GitHub, el repositorio incluye los dos archivos siguientes:

  • gcat.py - una secuencia de comandos que se utiliza para enumerar y enviar comandos a los bots.
  • implant.py - que es la puerta trasera.

Los archivos anteriores incluyen las variables gmail_user y gmail_pwd que deben ser editados con el nombre de usuario y la contraseña de la cuenta de Gmail utilizada como servidor C&C.

Configuración de cuenta Gmail
Para llevar a cabo un ataque basado en la puerta trasera GCAT, un atacante tiene que hacer los siguientes pasos.

  • Crear una cuenta dedicada Gmail
  • Encender "Permitir aplicaciones menos seguras" en la configuración de seguridad de la cuenta
  • Habilitar IMAP en los ajustes de la cuenta

GCAT backdoor permite realizar las siguientes acciones:

  • Ejecutar un comando del sistema
  • Descargar un archivo desde el sistema de un cliente
  • Subir un archivo al sistema de los clientes
  • Ejecutar código shell suministrado en un cliente
  • Tomar una captura de pantalla
  • Bloqueo de pantalla los clientes
  • Forzar un equipo a reportarse con el servidor
  • Iniciar/Detener el keylogger (captura de teclas)

A continuación un video del funcionamiento de GCAT:

Etiquetas: , , , ,

El Multifuncional Malware Vawtrak ahora se actualiza a través de favicons

El Vawtrak (aka Snifula) ha existido desde mediados del 2013. Sus capacidades de robar información, de puerta trasera (backdoor) y espionaje merecidamente le valieron la descripción de la "navaja suiza" de malware.

Cortesia: PCRisk

Desde su creación, los autores han ido retocándolo constantemente, cambiando las características, las regiones de destino o bancos. Corre a través de paquetes de exploits, descargadores de malware y a través de descargas no autorizadas, es muy probable que en un momento u otros muchos usuarios se hayan topado con él.

El mes pasado, en febrero, por ejemplo, los investigadores han descubierto en varias ocasiones que se entrega a través de macros maliciosos.
El desarrollador de AVG Jakub Kroustek ha escrito recientemente un ensayo analizando la amenaza y las últimas mejoras que recibió. Entre ellas se encuentra una forma mejorada de recibir listas actualizadas de C&C (Los servidores hacia donde se comunica el malware) vivos:
"Los servidores de actualización [del malware] están alojados en la web oculta Tor y se accede a ellos a través de un proxy Tor2web20 sin necesidad de instalar ningún software especial, como Torbrowser. Por otra parte, la comunicación con el servidor remoto se realiza a través de SSL, que suma un cifrado más ". 
"La lista de servidores puede ser actualizada con un archivo obtenido de aquellos C&C. Los autores de Vawtrak hicieron la detección de dicha comunicación con sus servidores más difícil comunicándose únicamente mientras el usuario navega por Internet (es decir, mientras un navegador produce tráfico de red). Por otra parte, Vawtrak utiliza esteganografía para ocultar esas listas de actualización dentro de los favicons en los servidores de actualización ".
Para aquellos que no saben, favicons - también conocidos como iconos de sitio Web e iconos de marcadores - son archivos que contienen uno o más pequeños iconos asociados con un sitio web en particular.

Su naturaleza hace que no parezcan sospechosa, mientras que su pequeño tamaño (alrededor de 4 kB) es todavía suficiente para llevar a un (cifrado) archivo de actualización escondido dentro.

"La forma más eficaz de evitar la infección por Vawtrak es permanecer alertas sobre phishing y estafas en línea. Sin embargo, Vawtrak todavía puede encontrar su camino a través de otros vectores de infección, incluso sin la interacción directa del usuario. Por lo tanto, tener una solución antivirus eficaz y actualizada es obligatorio", dice Kroustek, a pesar del hecho de que este trata de desactivar cualquier software antivirus corriendo que encuentra en el equipo de destino (la lista es considerable):


Como pueden ver, no es cualquier cosa, como siempre la recomendación, no abran correos no solicitados y naveguen seguro.
Etiquetas: , , , , ,

Maldrone: el primer Malware para Drone


Investigadores descubren un 'Backdoor' (puerta trasera) en los drones ampliamente disponibles que permite a cualquier persona tomar control de ellos

Bienvenidos al mundo de la Internet de las cosas (IoT), donde los malwares, troyanos y puertas traseras ya no se limitan a los PC, dispositivos móviles, redes corporativas, pero se pueden encontrar en sus artículos y juguetes electrónicos de uso diario. Los investigadores han encontrado que uno de los juguetes favoritos de nuestra generación, el drone de los consumidores tiene una puerta trasera que se puede utilizar para tomar control de el.

Los drones o vehículos aéreos no tripulados (UAV) han pasado de ser un juguete militar al sector de consumo comercial en los últimos años. A las empresas les resulta relativamente barato de producir, minúsculo y se pueden comprar por cualquier persona salvo en algunos países donde los drones están prohibidos por razones de seguridad. Los aviones no tripulados comerciales se utilizan para diversos fines como la fotografía avanzada, captura de video en deportes, afición e incluso la entrega de pizza.
Un investigador de seguridad indio Rahul Sasi ha descubierto una puerta trasera (backdoor) en los Drones AR . Esta puerta trasera ha sido explotado por él para crear un malware llamado Maldrone. El drone usado es un AR de la compañia Parrot Quadcopter AR que es controlable a través de smartphone, tablet, consola de Nvidia Escudo y la pantalla Epson Moverio, entre otros ha demostrado ser vulnerable al recién creado Maldrone.
"En este caso, al infectar un avión no tripulado con Maldrone, el malware inicia y mantiene en espera una conexión TCP inversa desde el drone. Una vez establecida la conexión, podemos interactuar con el software, así como conductores / sensores del avión no tripulado directamente. Hay un programa de pilotaje drone AR existente. Este backdoor (puerta trasera) deshabilita al piloto automático y toma el control. El Backdoor es persistente a las restauraciones (reset)."
 Rahul dice que el malware se instala silenciosamente en el drone, y permite a los hackers para controlar el dispositivo de forma remota y realizar vigilancia.

Vídeo de demostración de Maldrone




Rahul ha declarado que la puerta trasera puede existir en la mayoría de los drones disponibles en el mercado,

"Hay más de 70 naciones que construyen aviones no tripulados remotamente controlables. La mayoría de estos aviones no tripulados son capaces de tomar decisiones autónomas. Países comprar aviones no tripulados de sus vecinos. ¿Cuáles son las posibilidades de que podría haber una puerta trasera en el avión no tripulado que trajiste? ¿Cuáles son las posibles formas en que puede explotar dicha puerta trasera? ¿Cuál sería el impacto si se encuentran problemas de seguridad en los dispositivos informáticos que toman decisiones propias? "

El descubrimiento del backdoor en un avión no tripulado puede ser un gran problema, ya que los drones se pueden utilizar para cosas devastadoras si son controlados por delincuentes cibernéticos y terroristas. Recuerde drones son armas no sólo gran hobby o pasatiempo, son armas volando en manos equivocadas.

Fuente: TechWorm
Etiquetas: , , , , , , , ,
Siguenos:
¿Usas Feedly? Suscribete:
follow us in feedly
Anuncios
Lo Más Popular