• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / El malware “Predator the Thief” se actualiza con una nueva campaña

El malware “Predator the Thief” se actualiza con una nueva campaña

7 enero, 2020 Por Jose Ignacio Palacios Ortega Deja un comentario

El malware “Predator the Thief” que fue descubierto por primera vez en julio de 2018, sigue actualizando su código, el cual ha tenido su última actualización en navidades de 2019, llegando a su versión 3.3.4.

Como un sofware más, este malware continúa teniendo desarrolladores que mantienen el código de esta familia activo y actualizado, llegado a ser un peligro para cualquier equipo que no tenga la seguridad al día.

Esta actualización ha sido detectada por el investigador seguridad Yueh-Ting Chen de la compañía Fortinet . Este investigador observó como la muestra ahora cuenta con distintos documentos para perpetrar los ataques de phishing para los que ha sido creado y no se basa solo en páginas bancarias comunes, sino que ahora también utilizan facturas o documentos judiciales.

Ejemplo de documento utilizado

La forma de ataque de la muestra, una vez que el documento del ataque es abierto, es la siguiente:

  • Carga de forma automática una macro escrita en “Visual Basic Script (VBA)”.
  • Descarga a través de comandos de “PowerShell” los ficheros necesarios para la infección desde la web“stranskl[.]site”, que en el momento del análisis consta de 3:
    • VjUea.dat: Un launcher legítimo de AutoIt3.exe
    • SevSS.dat: Script del lanzador certificado.
    • apTz.dat: Binario Predator the Thief encriptado con RC4.
  • Ejecutar el lanzador legítimo para lanzar el script SevSS.dat, el cual desencriptará los datos del malware y lo lanzará.
Flujo de ejecución

En el momento del análisis el servidor de control era “corp2[.]site” donde se ha podido encontrar información del autor en la que expone un chat de Telegram para hacer los negocios con el malware, canal en el cual se expone los detalles de la actualización del malware, en la que sobre todo, añade más características para dificultar la detección y la depuración.

Cambios en la última versión mostrados en el canal de Telegram
Gráfico de la complejidad del malware en comparativa con la versión anterior

Otra característica que llama la atención es la no escritura de los datos robados en disco, en su lugar, forma la estructura zip que necesitará para enviar los ficheros en memoria antes de ser enviados al servidor de control.

También se ha detectado que la comunicación con el servidor de control esta más cuidada que en versiones anteriores, haciendola totalmente encriptada y más compleja.

En esta comunicación con el panel de control de la muestra, se obtiene la información que la muestra necesitará para hacer su labor, que va desde los datos que recolectará del usuario hasta información dónde y como enviar los datos robados.

Más información:

Predator the Thief: Analysis of Recent Versions
https://www.fortinet.com/blog/threat-research/predator-the-thief-recent-versions.html

Predator the Thief Telegran channel
https://t.me/PredatorSoftwareChannel

Acerca de Jose Ignacio Palacios Ortega

José Ignacio Palacios Ortega Ha escrito 135 publicaciones.

  • View all posts by Jose Ignacio Palacios Ortega →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General Etiquetado como: malware, Predator the Thief, steal

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Tamagotchi para hackers: Flipper Zero
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Técnica permite modificar ficheros PDF con firma digital

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR
 

Cargando comentarios...