Seguridad

Cómo comprobar si está utilizando el software malicioso Pinkslipbot

Cómo comprobar si está utilizando el software malicioso Pinkslipbot / Seguridad

De vez en cuando aparece una nueva variante de malware como un rápido recordatorio de que la seguridad está en aumento. El troyano bancario QakBot / Pinkslipbot es uno de ellos. El malware, que no se contenta con la recolección de credenciales bancarias, ahora puede permanecer y actuar como un servidor de control, mucho después de que un producto de seguridad deja de cumplir su propósito original..

¿Cómo permanece activo OakBot / Pinkslipbot? ¿Y cómo puedes eliminarlo completamente de tu sistema??

QakBot / Pinkslipbot

Este troyano bancario tiene dos nombres: QakBot y Pinkslipbot. El malware en sí no es nuevo. Se implementó por primera vez a fines de la década de 2000, pero sigue causando problemas más de una década después. Ahora, el troyano ha recibido una actualización que prolonga la actividad maliciosa, incluso si un producto de seguridad reduce su propósito original.

La infección utiliza el plug-and-play universal (UPnP) para abrir puertos y permitir conexiones entrantes de cualquier persona en Internet. Pinkslipbot se utiliza para cosechar las credenciales bancarias. La gama habitual de herramientas maliciosas: registradores de teclas, ladrones de contraseñas, ataques de navegador MITM, robo de certificados digitales, credenciales de FTP y POP3, y más. El malware controla una red de bots que se estima contiene más de 500,000 computadoras. (¿Qué es una botnet, de todos modos? ¿Es tu PC un zombi? ¿Y qué es una computadora zombie, de todos modos? [MakeUseOf Explica] ¿Tu PC es un zombi? Y ¿Qué es una computadora zombie, de todos modos? ¿De dónde viene el spam de Internet? Probablemente recibas cientos de correos electrónicos no deseados filtrados cada día. Eso significa que hay cientos y miles de personas ahí afuera, sentados ... Leer más)

El malware se centra principalmente en el sector bancario de EE. UU., Con el 89 por ciento de los dispositivos infectados que se encuentran en instalaciones bancarias de tesorería, corporativas o comerciales..

Crédito de la imagen: IBM X-Force

Una nueva variante

Investigadores de McAfee Labs descubrieron la nueva variante de Pinkslipbot.

“Como UPnP supone que las aplicaciones y los dispositivos locales son confiables, no ofrece protecciones de seguridad y es propenso al abuso por parte de cualquier máquina infectada en la red. Hemos observado múltiples servidores proxy de control de Pinkslipbot alojados en computadoras separadas en la misma red doméstica, así como lo que parece ser un punto de acceso público a Wi-Fi,” dice el investigador de McAfee Anti-Malware Sanchit Karve. “Por lo que sabemos, Pinkslipbot es el primer malware que utiliza máquinas infectadas como servidores de control basados ​​en HTTPS y el segundo malware basado en ejecutables que utiliza UPnP para el reenvío de puertos después del infame gusano Conficker en 2008..”

En consecuencia, el equipo de investigación de McAfee (y otros) están intentando establecer exactamente cómo una máquina infectada se convierte en un proxy. Los investigadores creen que tres factores juegan un papel importante:

  1. Una dirección IP ubicada en América del Norte.
  2. Una conexión a internet de alta velocidad..
  3. La capacidad de abrir puertos en una puerta de enlace de Internet usando UPnP.

Por ejemplo, el malware descarga una imagen usando el servicio Comcast'sSpeed ​​Test para verificar que haya suficiente ancho de banda disponible.

Una vez que Pinkslipbot encuentra una máquina objetivo adecuada, el malware emite un paquete de Protocolo de descubrimiento de servicio simple para buscar dispositivos de puerta de enlace de Internet (IGD). A su vez, se comprueba la conectividad del IGD, con un resultado positivo al ver la creación de reglas de reenvío de puertos.

Como resultado, una vez que el autor del malware decide si una máquina es adecuada para la infección, un troyano binario se descarga y se despliega. Esto es responsable de la comunicación proxy del servidor de control..

Difícil de Obliterar

Incluso si su paquete antivirus o antimalware ha detectado y eliminado QakBot / Pinkslipbot con éxito, existe la posibilidad de que todavía sirva como un servidor proxy de control para el malware. Su computadora puede ser vulnerable, sin que usted se dé cuenta..

“Las reglas de reenvío de puertos creadas por Pinkslipbot son demasiado genéricas para eliminarse automáticamente sin correr el riesgo de configuraciones erróneas de la red. Y como la mayoría de los programas maliciosos no interfieren con el reenvío de puertos, las soluciones antimalware no pueden revertir tales cambios,” dice Karve. “Desafortunadamente, esto significa que su computadora todavía puede ser vulnerable a ataques externos, incluso si su producto antimalware ha eliminado con éxito todos los archivos binarios de Pinkslipbot de su sistema.”

El malware presenta virus, capacidad espía, virus espía, software malicioso, etc. Explicado: comprender las amenazas en línea virus, software espía, software malicioso, etc. explicado: comprender las amenazas en línea Cuando empiezas a pensar en todas las cosas que pueden salir mal al navegar por Internet La web empieza a parecer un lugar bastante aterrador. Lea más, lo que significa que puede auto replicarse a través de unidades de red compartidas y otros medios extraíbles. Según los investigadores de IBM X-Force, ha provocado bloqueos de Active Directory (AD), lo que obligó a los empleados de las organizaciones bancarias afectadas a desconectarse durante horas a la vez..

Una breve guía de eliminación

McAfee ha lanzado el Pinkslipbot Control Server Proxy Detection y herramienta de eliminación de reenvío de puertos (o PCSPDPFRT, para abreviar ... estoy bromeando). La herramienta está disponible para descargar aquí. Además, un breve manual de usuario está disponible aquí [PDF].

Una vez que hayas descargado la herramienta, haz clic derecho y Ejecutar como administrador.

La herramienta escanea automáticamente su sistema en “modo de detección.” Si no hay actividad maliciosa, la herramienta se cerrará automáticamente sin realizar cambios en la configuración de su sistema o enrutador.

Sin embargo, si la herramienta detecta un elemento malicioso, simplemente puede utilizar el / del comando para deshabilitar y eliminar las reglas de reenvío de puertos.

Evitando la detección

Es algo sorprendente ver un troyano bancario de esta sofisticación..

Aparte del mencionado gusano Conficker “La información sobre el uso malicioso de UPnP por malware es escasa..” Más pertinente aún, es una señal clara de que los dispositivos IoT que utilizan UPnP son un objetivo enorme (y una vulnerabilidad). A medida que los dispositivos de IoT se vuelven omnipresentes, hay que reconocer que los cibercriminales tienen una oportunidad de oro. (¡Incluso su refrigerador está en riesgo! El refrigerador inteligente de Samsung acaba de recibir un impulso. ¿Qué tal el resto de su hogar inteligente? El refrigerador inteligente de Samsung acaba de recibir un impulso. ¿Qué tal el resto de su hogar inteligente? Una vulnerabilidad del refrigerador inteligente de Samsung fue descubierta en el Reino Unido Pen Test Parters, empresa de seguridad informática. La implementación del cifrado SSL de Samsung no comprueba la validez de los certificados. Más información)

Pero mientras Pinkslipbot hace una transición a una variante de malware difícil de eliminar, aún ocupa el puesto número 10 en los tipos de malware financiero más prevalentes. El primer puesto aún lo tiene el cliente Maximus..

Crédito de la imagen: IMB X-Force

La mitigación sigue siendo clave para evitar el malware financiero, ya sea un negocio, una empresa o un usuario doméstico. Educación básica contra el phishing Cómo detectar un correo electrónico de phishing Cómo detectar un correo electrónico de phishing ¡Atrapar un correo electrónico de phishing es difícil! Los estafadores se hacen pasar por PayPal o Amazon, intentando robar su contraseña y la información de su tarjeta de crédito, y su engaño es casi perfecto. Te mostramos cómo detectar el fraude. Lea más y otras formas de actividad maliciosa dirigida Cómo los estafadores utilizan los correos electrónicos de phishing para dirigirse a los estudiantes Cómo los estafadores usan los correos electrónicos de phishing para dirigirse a los estudiantes El número de estafas dirigidas a los estudiantes está en aumento y muchos están cayendo en estas trampas. Esto es lo que necesita saber y lo que debe hacer para evitarlos. Lea más y trabaje de forma masiva para detener este tipo de infección que ingresa a una organización, o incluso a su hogar.

¿Afectado por Pinkslipbot? ¿Fue en casa o en tu organización? ¿Estabas bloqueado de tu sistema? Háganos saber sus experiencias a continuación!

Crédito de la imagen: akocharm via Shutterstock

Explorar más sobre: ​​Malware, Trojan Horse.