El malware ClipBanker intenta detener nuestra herramienta de defensa CryptoClipWatcherÁrea de Innovación y Laboratorio de Telefónica Tech 28 julio, 2020 El malware capaz de modificar el portapapeles para dar el “cambiazo” a la cartera de las criptomonedas sigue existiendo. Para combatirlo, en ElevenPaths creamos CryptoClipWatcher, una herramienta que vigila el portapapeles y alerta si se realiza algún cambio inadvertido en él. El malware ClipBanker tiene esto en cuenta e intenta detener el proceso antes de infectar. Desde hace años, la técnica de crypto clipboard hijacking es habitual en el malware. En 2018 presentamos CryptoClipWatcher. Una vez instalada, nuestra herramienta comprobará si, una vez que se ha copiado una wallet o dirección de criptomoneda en el portapapeles, se modifica antes de que se reemplace por otra cosa. Mostramos aquí un vídeo que explica cómo funciona. El troyano ClipBanker, programado en .NET, ya lleva un tiempo detectando nuestra herramienta e intentando detenerla. La última muestra conocida que hemos comprobado es de mayo de 2020. Veamos cómo lo hace. Funcionamiento del malware Como hemos mencionado, este malware monitoriza el portapapeles para robar criptomonedas, pero también exfiltra claves privadas del formato de importación de wallet (WIF) a través de IP logger. Lo interesante es cómo se defiende de ser analizado o detenido. Para comprobar si está corriendo en una máquina virtual, utiliza WMIC para consultar información sobre el BIOS, específicamente usa el comando “wmic bios” y busca palabras como VBOX, VirtualBox, XEN, qemu, bochs y VM. Para detectar antivirus, usa también WMIC para preguntar al Windows Security Center qué productos hay. La consulta es: ManagementObjectSearcher(‘root\\SecurityCenter2’, ‘SELECT * FROM AntivirusProduct’) Y luego busca nuestro CCW. En la siguiente función llamada CCW, busca si existe un proceso con un nombre concreto almacenado en la variable ccwProcessName. La variable está ofuscada: Esa cadena está en base64 y se le ha aplicado este XOR f952db5f-fac5-4f65-8d60-db225f0c1c26 a su vez en base64. Una vez resuelto: Nuestra aplicación corre con privilegios en el sistema, por tanto solo podrá detener el proceso si el malware se ejecuta también con esos privilegios elevados. La muestra que hemos analizado es: 5dd16f9e2351216d683038f772ef8ca07373eb04d4e97b3a031bb98c1dca25c9 #CodeTalks4Devs – Crea tu entorno de pruebas de seguridad en BLE con Micro:Bit y MakeCodeCiberseguridad en pandemia (II)
Telefónica Tech Boletín semanal de ciberseguridad, 24 — 30 de septiembre Explotadas dos vulnerabilidades 0-day en Microsoft Exchange El equipo de ciberseguridad vietnamita GTSC informó hace tres semanas, a través Zero Day Initiative (ZDI), de dos vulnerabilidades 0-day en Microsoft Exchange...
Marta Mallavibarrena La importancia del factor humano en ciberseguridad En el panorama actual se descubren decenas de vulnerabilidades cada día (una media de 50 en 2021), y los atacantes encuentran nuevas e ingeniosas formas de aprovecharlas. Es obvio...
Telefónica Tech Boletín semanal de ciberseguridad, 17 — 23 de septiembre Ransomware Quantum y BlackCat utilizan emotet como vector de entrada El equipo de investigadores de AdvIntel ha publicado los resultados de una investigación en la que informan que los operadores...
Jennifer González Ciberestafas en el mundo de las criptomonedas: tipologías, cómo protegerte y qué hacer si eres víctima Recomendaciones para no ser víctima de una ciberestafa y que hacer en el caso serlo
Emilio Moreno Latencia y Edge Computing: ¿Por qué es importante? Durante muchos años hemos vivido una carrera por conseguir en nuestras conexiones velocidades cada vez más altas. Desde aquellos módems que nos obsequiaban con una sinfonía de pitidos, cuyo...
Telefónica Tech Boletín semanal de ciberseguridad, 9 — 16 de septiembre Microsoft corrige dos 0-day y otras 63 vulnerabilidades en su Patch Tuesday Microsoft ha corregido, en su Patch Tuesday correspondiente al mes de septiembre, 63 vulnerabilidades entre las que se...
