international institute of

cyber securty

DropboxCache MalwareCapacitación de hacking ético

curso de Seguridad Informáticacertificaciones seguridad informática

El malware de Linux, llamado DropboxCache o Backdoor.Linux.Mokes.a, se empaqueta con el último Packer (UPX) y tiene la capacidad de capturar el audio y tomar capturas de pantalla. Se copia se mismo en otras áreas en el ordenador y se conecta el servidor de comando y control (C & C), donde se carga y almacena los datos robados. A continuación, se conecta a su servidor codificado C & C. A partir de este punto, se realiza una petición http cada minuto según Investigadores de curso hacking ético.

DropboxCache Malware

Según curso de Seguridad Informática, esta petición de " heartbeat ", responde con una imagen de un byte. Para cargar y recibir datos y comandos, se conecta al puerto TCP 433 usando un protocolo personalizado y el cifrado AES. El binario viene con las claves públicas codificadas. El malware que recoge la información reunida desde el keylogger, capturas de audio y capturas de pantalla en / tmp /. Más tarde, se cargar datos a la el servidor. Al parecer, está escrito en C ++ y Qt, un marco de aplicación de plataforma cruzada.

DropboxCache Malware

La puerta trasera para Windows es OLMyJuxM.exe o Backdoor.Win32.Mokes.imv. Esto dirige la versión de 32 bits del sistema operativo. Después de ser embebido que se instala en una de las nueve ubicaciones en% AppData% e instala las claves de registro necesarias para mantener la persistencia. keylogger del software malicioso a continuación, se pone en marcha y también el monitor de entradas de mouse que se cargan en el servidor C & C. No sólo eso, sino la versión de Windows fue equipado además con una firma de firma de código válido señalan expertos con certificaciones de seguridad informática.

DropboxCache Malware

Maestro de curso de seguridad Informática,  entonces se crean las claves del registro correspondientes en HKCU\Software\Microsoft\Windows\CurrentVersion\Run para asegurar la persistencia en el sistema. Después de que el malware ejecuta su propia copia en la nueva ubicación, se utiliza la API SetWindowsHook para establecer funciones de keylogger y supervisar entradas de mouse y mensajes internos enviados a la cola de mensajes. La siguiente etapa en su funcionamiento es ponerse en contacto con el servidor codificado C & C. Además de las direcciones IP y las claves de cifrado diferentes a la versión de Linux.

DropboxCache Malware

Investigadores de curso hacking ético mencionan que el código también es capaz de capturar imágenes desde una cámara conectada, tales como una cámara web integrada. Desde el punto de vista del criminal, es importante que el software parece legítimo y que Windows no pide confirmación al usuario antes de ejecutar software desconocido. En máquinas Windows esto se puede lograr mediante el uso de certificados de firma de código de confianza. En este caso particular, el criminal logró firmar el binario con un certificado de confianza de " COMODO RSA Code Signing CA ".

Cómo funciona DropboxCache Malware

Al igual que la variante de Linux, se conecta a su servidor de C & C de la misma manera: una vez por minuto envía una señal de transacción a través de HTTP (GET / v1). Para recuperar los comandos o para cargar o descargar los recursos adicionales, que utiliza el puerto TCP 433. Se utiliza casi las mismas plantillas de nombre de archivo para guardar las imágenes obtenidas, captura de audio, keylogs y otros datos arbitrarios según expertos con certificaciones seguridad informática de international institute of cyber security

Cómo funciona DropboxCache Malware

CONTACTO www.iicybersecurity.com

538 Homero # 303Polanco, México D.F 11570 

MéxicoMéxico Tel: (55) 9183-5420

633 West Germantown Pike #272Plymouth Meeting, PA 19462 

United States 

Sixth Floor, Aggarwal Cyber Tower 1Netaji Subhash Place, Delhi NCR, 110034

IndiaIndia Tel: +91 11 4556 6845