Una nueva familia de malware multifuncional detectado como Proteus puede transformar los ordenadores de los usuarios infectados en servidores proxy.
Detectado por los investigadores de seguridad de Fortinet, esta nueva familia de malware está escrito en .NET y la evidencia actual revela que los ladrones están usando el software malicioso de Andrómeda/botnet y Proteus en los ordenadores de las víctimas.
Aunque no es tan compleja y extendida como Andrómeda, las acciones de Proteus cuenta con esta antigua red de bots, ya que también utiliza un control de mando y el centro servidor (C & C) para controlar las acciones del malware en los robots infectados.
También de forma similar a la de Andrómeda, Proteus puede descargar módulos e incluso otros programas maliciosos en las etapas posteriores, para diversificar su arsenal de ataque.
Actualmente, los investigadores han descubierto la caída del botnet Andrómeda y ejecutar un archivo llamado chrome.exe en las máquinas infectadas. Esto instala el malware Proteus, que inicia inmediatamente un canal de comunicación cifrado con su servidor de C & C.
El malware Proteus actual es la version 2.0.0, y puede realizar las siguientes acciones
- Crea un socket y configurar el reenvío de puerto con el fin de transmitir el tráfico malicioso a través de la máquina infectada, que ahora actúa como un proxy SOCKS.
- Implementar las siguientes cripto-moneda: SHA256 minero, CPUMiner, y ZCashMiner. Estas herramientas se pueden utilizar para extraer cripto-monedas como Bitcoin, litecoin, Zcash , entre otros, el uso de la GPU o CPU del PC local.
- Compruebe si las contraseñas siguen trabajando en las cuentas de usuario robados por los servicios como Amazon, eBay, Spotify, Netflix, y algunos dominios (.de) alemán, y luego extraer la información del perfil de las cuentas de trabajo.
- Establecer un keylogger.
- Descargar y ejecutar un archivo ejecutable bajo petición.
"Todo esto en una red de bots pueden ser incluso ser más perjudicial que uno podría pensar, ya que podría descargar nada y ejecutarlo en el huésped infectado," Donna Wang y Jacob Leong de la rama de Fortinet Canadá.
La nueva familia de Proteus ha sido visto por el analista de malware AVG Jiří Kropáč, que compartió una VirusTotal escanear en Twitter . El escaneo VT mostró una tasa de detección de 4/44 en el momento en que fue compartida públicamente.
Proteus se utiliza para verificar las cuentas de usuario robados
El investigador de seguridad de @MalwareHunterTeam también ha visto el código fuente de Proteus. El investigador dice que la característica más interesante no es la capacidad de descargar otros programas maliciosos o una mina de cripto-monedas, pero la cuenta de la red de bots función de comprobación.
El investigador dice que cada robot Proteus pondrá en contacto con el servidor C & C y solicitar una cuenta para comprobar.
Los motores de búsqueda pedirán una cuenta para comprobar a intervalos regulares. "Si es una cuenta de cheque, la siguiente consulta pasará 3 minutos más tarde, si no, luego 1 minuto más tarde," MalwareHunter dijo que pita por ordenador.
"[El servidor C & C] da un nombre de usuario (correo electrónico o cuando sea necesario) y una contraseña, y también indica qué servicio es que cuenta es para", dice el investigador. Los siguientes tipos de cuentas son compatibles.
"En primer lugar, hay una comprobación si las credenciales están trabajando o no", dice MalwareHunter ", a continuación, extrae Proteus información de la cuenta."
"De esta manera, si se ponen, por ejemplo, 1 millón de cuentas de eBay, pueden verificar en primer lugar cuáles funcionan y cuáles no lo son", explica el investigador. "Luego se puede construir una buena base de datos de las cuentas, y luego pueden venderlos por país, o por el tipo de negocio de la cuenta, etc .."
