Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
08 de Agosto, 2014    General

Khaler: el ransomware móvil "de la policía", pasa de infectar smartphones a PCs

El ransomware Khaler dispone de 30 mensajes personalizados para las víctimas en función de su país,. Suplanta a la policía y pide un rescate de entre 100 y 300 dólares para desbloquear el dispositivo.
Kaspersky Lab ha detectado una parte hasta ahora oculta de la campaña maliciosa que introdujo el ransomware móvil ‘de la policía’ Kholer para los dispositivos Android en abril de 2014. Esta parte incluye ransomware basado en navegador y un kit de explotación. Desde el 23 de julio, el componente móvil de la campaña se ha visto alterado y el servidor de comando y control comenzó a enviar el comando ‘Desinstalar’ a las víctimas móviles, eliminando la aplicación maliciosa de los dispositivos.

Sin embargo, el resto de los componentes maliciosos para usuarios de PC – incluyendo el kit de explotación – siguen activos. Kaspersky Lab sigue monitorizando activamente el malware, detectado inicialmente por el investigador de seguridad "Kaffeine".

Los ciberdelincuentes que están detrás de los ataques emplearon un esquema inusual para escanear los sistemas de las víctimas (también en España) y enviar ransomware personalizado en función de su ubicación y tipo de dispositivo – móvil o PC. Después de que la víctima visitara cualquiera de los más de 48 sitios web pornográficos maliciosos utilizados por los operadores de Kholer, ésta era redirigida a un sistema de redirección de tráfico. El uso de una red pornográfica para la difusión de este malware no es casualidad, ya que las víctimas son más propensas a sentirse culpables tras navegar por este tipo de contenidos y a pagar la supuesta multa a las «autoridades».

Estos sitios pornográficos redirigen a los usuarios al hub central, que utiliza el sistema de distribución de tráfico Keitaro (TDS) para redirigir a los visitantes. En función de una serie de condiciones, esta segunda redirección puede derivar en tres escenarios maliciosos diferentes:
  • Instalación del ransomware móvil Kholer. En caso de usar un dispositivo móvil, el sitio web redirige automáticamente al usuario de la aplicación maliciosa. Sin embargo, el usuario todavía tiene que confirmar la descarga e instalación de la aplicación – llamada animalporn.apk – que en realidad es el ransomware Kholer. Éste bloquea la pantalla del dispositivo infectado y pide un rescate de entre 100 y 300 dólares para poder desbloquearlo. El malware muestra un mensaje simulando proceder de la “policía”, por lo que es más realista.
  • Redirección a cualquiera de los sitios con ransomware en el navegador. El hub central verifica las siguientes condiciones a) el usuario es de uno de los 30 países afectados, entre los que se encuentra España b) no es un usuario de Android y c) la solicitud no proviene de Internet Explorer. Si los tres supuestos son afirmativos, al usuario le aparece una pantalla de bloqueo, idéntica a la utilizada para los dispositivos móviles. No hay infección en este caso, sólo un pop-up que muestra una plantilla de bloqueo y pide el pago de la multa. Sin embargo, el usuario puede fácilmente evitar el bloqueo presionando la combinación de teclas ALT + F4.
  • La redirección a un sitio web que contiene el Angler Exploit Kit. Si el usuario utiliza Internet Explorer, la infraestructura de redirección utilizada en esta campaña envía al usuario a sitios que alojan el Angler Exploit Kit. Durante el análisis de Kaspersky Lab, el código de explotación era completamente funcional, pero esto puede cambiar en el futuro cercano.
Según Vicente Díaz, Principal Security Analyst de Kaspersky Lab: "Lo que tiene mayor interés en este caso es la red de distribución utilizada en la campaña. Decenas de sitios web generados automáticamente redirigen el tráfico a un eje central mediante un sistema de distribución de tráfico en el que los usuarios son nuevamente redirigidos. Creemos que esta infraestructura demuestra lo bien organizada y peligrosa que es esta campaña. Los atacantes pueden crear rápidamente infraestructuras similares gracias a la automatización completa, cambiar el malware suministrado, y usarla contra nuevas víctimas. Los ciberdelincuentes también han ideado una serie de maneras de monetizar sus ingresos de campaña en un esquema verdaderamente multi-dispositivo".

Fuente: DiarioTI
Palabras claves ,
publicado por alonsoclaudio a las 08:40 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Marzo 2020 Ver mes siguiente
DOLUMAMIJUVISA
1234567
891011121314
15161718192021
22232425262728
293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Revelan lo fácil que es hackear cualquier cuenta de WhatsApp
1 Comentario: free robux
» Cómo espiar WhatsApp
540 Comentarios: FOUD CHERIF, Maria, FOUD CHERIF, [...] ...
» Cómo bajar apps desde Google Play a tu PC
1 Comentario: apk
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
1 Comentario: alex
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad