Todos los derechos reservados BITTIN 2015
Tel. (601) 7425944 - (+57) 305 7309799 – Dirección: Cr 7 # 29-34 Bogotá Colombia
Bogotá D.C., febrero 09 de 2016.
Las amenazas a diario crecen más en la WEB y cada una de las aplicaciones y herramientas creadas son fácilmente afectadas, creando problemas de seguridad a los usuarios que las utilizan como medio de comunicación, en esta ocasión Skype es la víctima.
No es muy habitual hablar de Skype y que los usuarios sean víctimas de una amenaza malware. Teniendo en cuenta de que su cuota de mercado ha descendido y mucho y cada vez son menos los usuarios que hacen uso de este, no es para nada descabellado que nos encontremos en esta situación.
Sin embargo, los ciberdelincuentes han comenzado a distribuir una puerta trasera conocida con el nombre de T9000.
Aunque es probable que muchos no se acuerden, hace un par de años ciberdelincuentes distribuyeron a través del servicio una puerta trasera bautizada con el nombre de T5000, quedando claro que la que se está distribuyendo en la actualidad se trata nada más y nada menos que una actualización.
Se distribuye haciendo uso de ficheros RTF y hace uso de las vulnerabilidades CVE-2012-1856 y CVE-2015-1641 para instalarse en el sistema de forma correcta y también ser persistente. Conviene aclarar que se trata de una amenaza que solo afectaría a los usuarios que harían uso del servicio de mensajería en equipos Windows.
Expertos en seguridad que han analizado la amenaza han puntualizado que los propietarios han puesto mucho esfuerzo en que la amenaza no sea detectada por las principales herramientas de seguridad.
La instalación de la puerta trasera comprende varias etapas, siendo la primera la comprobación de la existencia de herramientas de seguridad en el sistema. En el caso de ser así, la instalación se aborta, aunque si el resultado es negativo el proceso continúa con la instalación de la amenaza. Cuando este ha finalizado se realiza la recolección de datos del sistema y se envían a un servidor de control remoto.
T9000 permite el robo de datos y la toma de capturas de pantalla
Hay que puntualizar que la puerta trasera no se distribuye utilizando el servicio de mensajería, sino que afecta a los usuarios que los utilizan. Se distribuye haciendo uso de mensajes de correo electrónico spam y una vez que ha enviado la información recopilada, el servidor de control envía módulos adicionales que permitirán recopilar la información de una forma mucho más sencilla.
Los usuarios que estén infectado verán cómo se solicita el acceso de explorer.exe a la API de Skype. El motivo es muy sencillo la posibilidad de grabar las conversaciones y recopilar otros datos. Además de las conversaciones, la puerta trasera también puede proceder a grabar el audio y el vídeo.
Doc, ppt, xls, docx, pptx o xlsx son un ejemplo de otros archivos que se pueden ver afectados por la presencia de la puerta trasera.
Es importante tener en cuenta cada una de las recomendaciones y dudar de los accesos que son utilizados para el ingreso pues los diferentes archivos son afectados por la amenaza informática.
Fuente: redeszone.net
fuente imagen:noticiasnet.mx