El malware ClipBanker intenta detener nuestra herramienta de defensa CryptoClipWatcherÁrea de Innovación y Laboratorio de Telefónica Tech 28 julio, 2020 El malware capaz de modificar el portapapeles para dar el “cambiazo” a la cartera de las criptomonedas sigue existiendo. Para combatirlo, en ElevenPaths creamos CryptoClipWatcher, una herramienta que vigila el portapapeles y alerta si se realiza algún cambio inadvertido en él. El malware ClipBanker tiene esto en cuenta e intenta detener el proceso antes de infectar. Desde hace años, la técnica de crypto clipboard hijacking es habitual en el malware. En 2018 presentamos CryptoClipWatcher. Una vez instalada, nuestra herramienta comprobará si, una vez que se ha copiado una wallet o dirección de criptomoneda en el portapapeles, se modifica antes de que se reemplace por otra cosa. Mostramos aquí un vídeo que explica cómo funciona. El troyano ClipBanker, programado en .NET, ya lleva un tiempo detectando nuestra herramienta e intentando detenerla. La última muestra conocida que hemos comprobado es de mayo de 2020. Veamos cómo lo hace. Funcionamiento del malware Como hemos mencionado, este malware monitoriza el portapapeles para robar criptomonedas, pero también exfiltra claves privadas del formato de importación de wallet (WIF) a través de IP logger. Lo interesante es cómo se defiende de ser analizado o detenido. Para comprobar si está corriendo en una máquina virtual, utiliza WMIC para consultar información sobre el BIOS, específicamente usa el comando “wmic bios” y busca palabras como VBOX, VirtualBox, XEN, qemu, bochs y VM. Para detectar antivirus, usa también WMIC para preguntar al Windows Security Center qué productos hay. La consulta es: ManagementObjectSearcher(‘root\\SecurityCenter2’, ‘SELECT * FROM AntivirusProduct’) Y luego busca nuestro CCW. En la siguiente función llamada CCW, busca si existe un proceso con un nombre concreto almacenado en la variable ccwProcessName. La variable está ofuscada: Esa cadena está en base64 y se le ha aplicado este XOR f952db5f-fac5-4f65-8d60-db225f0c1c26 a su vez en base64. Una vez resuelto: Nuestra aplicación corre con privilegios en el sistema, por tanto solo podrá detener el proceso si el malware se ejecuta también con esos privilegios elevados. La muestra que hemos analizado es: 5dd16f9e2351216d683038f772ef8ca07373eb04d4e97b3a031bb98c1dca25c9 #CodeTalks4Devs – Crea tu entorno de pruebas de seguridad en BLE con Micro:Bit y MakeCodeCiberseguridad en pandemia (II)
Cristina del Carmen Arroyo Siruela ¿Qué distingue a una Mujer Hacker? Qué tiene de especial una Mujer Hacker es algo que he ido descubriendo a lo largo de mi vida, a lo largo de mis distintas vivencias con la tecnología. Mi primera experiencia, como muchas de...
ElevenPaths #MujeresHacker: apuesta por tu pasión #MujeresHacker, la iniciativa global de Telefónica que persigue visibilizar el papel de la mujer dentro del sector tecnológico y concienciar a nuestras niñas sobre su potencial para estudiar carreras...
ElevenPaths Entrevista: hablamos de libros y #MujeresHacker con Javier Padilla Hace unos días tuvimos la oportunidad de hablar con Javier Padilla, emprendedor en Internet y escritor de los libros protagonizados por la joven hacker Mara Turing, una charla muy...
ElevenPaths Boletín semanal de ciberseguridad 27 de febrero – 5 de marzo HAFNIUM ataca servidores de Microsoft Exchange con exploits 0-day Microsoft ha detectado el uso de múltiples exploits 0-day para llevar a cabo ataques dirigidos contra las versiones on premise de...
ElevenPaths Todo lo que necesitas saber sobre los certificados SSL/TLS ¿Qué es un certificado digital? Un Certificado digital SSL/TLS (Secure Sockets Layer/Transport Layer Security) es el protocolo de seguridad más utilizado que permite realizar una transferencia de datos de manera cifrada...
Carlos Ávila Tu sistema macOS también es objetivo del cibercrimen, ¡fortalécelo! Según statcounter, el sistema operativo de Apple, en concreto macOS (OSX anteriormente), tiene una cuota de mercado de alrededor del 17%, siendo el segundo sistema operativo de escritorio más...
