Investigadores de seguridad de MalwareHunterTeam descubrió una nueva familia de malware que puede infectar los ordenadores y permitir a delincuente controlar estos equipos ya que utilizan los comandos enviados a través de un canal de IRC.
LLamado GhostAdmin, esta amenaza es parte de la categoría "botnet malware". De acuerdo con la información actual, el malware que ya se distribuye y despliega en ataques en vivo, se utiliza para apuntar posiblemente al menos dos empresas y robar cientos de GB de información.
LOS DELINCUENTES CONTROLAN LAS VÍCTIMAS GHOSTADMIN A TRAVÉS DE COMANDOS DE IRC
De acuerdo con MalwareHunterTeam y otros investigadores que han analizado el código fuente del software malicioso, GhostAdmin parece ser una nueva versión de Crimescene, otra familia de malware botnet que estaba activa hace unos 3-4 años.
GhostAdmin está escrito en C# y ya se encuentra en la versión 2.0. El malware funciona mediante la infección de ordenadores, ganando la persistencia de arranque, y el establecimiento de un canal de comunicación con su servidor (C & C) de mando y control, que es un canal de IRC.
Los autores del GhostAdmin dan acceso a este canal de IRC y ejecutan comandos que será recogido por todos los robots conectados (computadoras infectadas).
El malware puede interactuar con el sistema de archivos de la víctima, navegar a direcciones URL específicas, descargar y ejecutar archivos nuevos, hacer capturas de pantalla, grabar audio, activar las conexiones de escritorio remoto, exfiltrate datos, eliminar archivos de registro, interactuar con bases de datos locales, limpie el historial de navegación y más.
Las características del software malicioso giran en torno a la capacidad de recoger datos de los equipos infectados y lo envía en silencio a un servidor remoto.
GhostAdmin funciona basándose en un archivo de configuración. Entre los ajustes almacenados en este archivo, hay FTP y correo electrónico credenciales.
Las credenciales FTP son para el servidor en el que se carga toda la información robada, como capturas de pantalla, grabaciones de audio, las pulsaciones de teclado y más.
Por otro lado, las credenciales de correo electrónico se utilizan para enviar un correo electrónico al autor GhostAdmin cada vez que una víctima ejecuta su software malicioso, y también enviar informes de errores.
MalwareHunterTeam dice que la versión GhostAdmin fue compilado por un usuario que utiliza el apodo de "Jarad."
Como casi todos los autores de malware antes que él, Jarad logró infectar a su propio ordenador. El uso de las credenciales FTP que se encuentran en el archivo de configuración del software malicioso, MalwareHunterTeam encontró capturas de pantalla de escritorio de GhostAdmin creador en el servidor FTP.
Por otra parte, el investigador también encontró en los mismos archivos del servidor que parecían ser robado de víctimas GhostAdmin. Las posibles víctimas incluyen una compañía de lotería y un cibercafé. Sólo desde el cibercafé, el hueco aparentemente ha recogido 368GB de datos por sí solo.
Desde la empresa de lotería, el botmaster GhostAdmin parece haber robado una base de datos de información de la celebración como nombres, fechas de nacimiento, números de teléfono, correos electrónicos, direcciones, información del empleador, y mucho más.
Fecha actualización el 2021-03-31. Fecha publicación el 2018-03-31. Categoría: Malware. Autor: Oscar olg Mapa del sitio