El malware ClipBanker intenta detener nuestra herramienta de defensa CryptoClipWatcherÁrea de Innovación y Laboratorio de Telefónica Tech 28 julio, 2020 El malware capaz de modificar el portapapeles para dar el “cambiazo” a la cartera de las criptomonedas sigue existiendo. Para combatirlo, en ElevenPaths creamos CryptoClipWatcher, una herramienta que vigila el portapapeles y alerta si se realiza algún cambio inadvertido en él. El malware ClipBanker tiene esto en cuenta e intenta detener el proceso antes de infectar. Desde hace años, la técnica de crypto clipboard hijacking es habitual en el malware. En 2018 presentamos CryptoClipWatcher. Una vez instalada, nuestra herramienta comprobará si, una vez que se ha copiado una wallet o dirección de criptomoneda en el portapapeles, se modifica antes de que se reemplace por otra cosa. Mostramos aquí un vídeo que explica cómo funciona. El troyano ClipBanker, programado en .NET, ya lleva un tiempo detectando nuestra herramienta e intentando detenerla. La última muestra conocida que hemos comprobado es de mayo de 2020. Veamos cómo lo hace. Funcionamiento del malware Como hemos mencionado, este malware monitoriza el portapapeles para robar criptomonedas, pero también exfiltra claves privadas del formato de importación de wallet (WIF) a través de IP logger. Lo interesante es cómo se defiende de ser analizado o detenido. Para comprobar si está corriendo en una máquina virtual, utiliza WMIC para consultar información sobre el BIOS, específicamente usa el comando “wmic bios” y busca palabras como VBOX, VirtualBox, XEN, qemu, bochs y VM. Para detectar antivirus, usa también WMIC para preguntar al Windows Security Center qué productos hay. La consulta es: ManagementObjectSearcher(‘root\\SecurityCenter2’, ‘SELECT * FROM AntivirusProduct’) Y luego busca nuestro CCW. En la siguiente función llamada CCW, busca si existe un proceso con un nombre concreto almacenado en la variable ccwProcessName. La variable está ofuscada: Esa cadena está en base64 y se le ha aplicado este XOR f952db5f-fac5-4f65-8d60-db225f0c1c26 a su vez en base64. Una vez resuelto: Nuestra aplicación corre con privilegios en el sistema, por tanto solo podrá detener el proceso si el malware se ejecuta también con esos privilegios elevados. La muestra que hemos analizado es: 5dd16f9e2351216d683038f772ef8ca07373eb04d4e97b3a031bb98c1dca25c9 #CodeTalks4Devs – Crea tu entorno de pruebas de seguridad en BLE con Micro:Bit y MakeCodeCiberseguridad en pandemia (II)
Carlos Rebato Criptografía, una herramienta para proteger los datos compartidos en la red Actualmente, la Ciberseguridad representa un aspecto primordial en las empresas. No obstante, cada día surgen nuevos modos de atentar contra ella. Muchos se han preguntado: ¿de qué manera las...
Roberto García Esteban ChatGPT y Cloud Computing: un matrimonio bien avenido ChatGPT (quizá no sepas que son las siglas de Chat Generative Pre-Trained Transformer) está en boca de todos por su impresionante habilidad para generar textos que parecen escritos por...
David Prieto Marqués La importancia del control de acceso: ¿está tu empresa protegida? Por David Prieto y Rodrigo Rojas En un mundo cada vez más digitalizado y complejo, la seguridad de la información es fundamental para las empresas. A medida que las empresas...
Telefónica Tech Boletín semanal de Ciberseguridad, 22 – 26 de mayo GitLab parchea una vulnerabilidad crítica GitLab ha abordado una vulnerabilidad crítica que afecta a GitLab Community Edition (CE) y Enterprise Edition (EE) en la versión 16.0.0. En concreto, dicho fallo...
David García ¿Salvará Rust el mundo? (II) Segunda entrega en la que descubrimos cómo Rust, el lenguaje de programación de código abierto centrado en la seguridad, mejora el panorama en cuanto a vulnerabilidades basadas en errores...
Sergio de los Santos Cuatro hitos en Ciberseguridad que marcaron el futuro del malware Un recorrido por los 15 años que ha dedicado Microsoft para consolidar una estrategia que ha repercutido en la Ciberseguridad a nivel global
