Ir al contenido
Conéctate para seguir esto  
Shiba87

El troyano Hands Of Thief es humo y espejos

Recommended Posts

an1t.jpg

 

Me parece fuera de lugar escribir algo sobre este tema, pero ya que por fin hay algo parecido a una confirmación oficial de lo que ya sabíamos, vamos a dejar al menos una pequeña reseña.

 

Hace algunas semanas corrió como la pólvora la noticia de un troyano para GNU/Linux muy peligroso, que se encargaba a robar los datos bancarios de sus víctimas y que un estudio de cibercriminales de origen ruso puso a la venta por 2000$ para que aquel que quisiera explotarlo pudiera hacerse con él.

 

En un primer momento los "expertos" de RSA dieron la voz de alarma, alertando de las capacidades dañinas de este malware, de cómo podría evolucionar en un futuro y de su posible alcance, pero sin dar ningún dato concreto al respeto.

Todo esto sirvió, como en todas las ocasiones anteriores, para generar polémica, ya sea por parte de los que se alegran de que por fin alguien esté mínimamente más cerca de estar tan jodido como ellos, los que se preocupan por lo que les pueda pasar y, por supuesto, los oportunistas que ven una ocasión perfecta para generar FUD, ganar visitas y hacer caja. Formando entre todos ellos un círculo vicioso de incertidumbre, duda y preocupación o como se le conoce por sus siglas en inglés, FUD.

 

He retomado este tema el día de hoy, porque por fin tenemos un informe más "detallado" por parte de la RSA acerca de Hands Of Thief y la conclusión es clara, ni aunque pusiéramos todo nuestro empeño en hacerlo funcionar, lo descargáramos, le diéramos permisos y lo ejecutáramos como root, no lograríamos que funcionara de ninguna manera.

 

Lo primero que me ha llamado la atención del análisis de RSA ha sido lo siguiente:

 

The HoT builder itself is a Windows executable, and can be run on Linux using the WINE emulator. During the building process it reads the configuration file, and produces an executable binary of Hand of Thief. The Trojan’s executable is a 32-bit compiled ELF (Executable and Linking Format is the Linux standard binary format), and as such, will only run on 32-bit versions of the Linux OS (running HoT on a 64-bit machine would require some workarounds).

 

De entrada, es un ejecutable Windows, que una vez se ejecute con Wine (que NO ES UN EMULADOR) creará un ejecutable ELF que no funcionará en distribuciones de 64 bits, con lo cual, podemos hacernos una idea de lo tremendamente complicado que nos lo han puesto.

 

Luego nos hablan un poco de cómo está construido, haciendo notar que, al contrario que otros troyanos, el archivo de configuración de Hands Of Thief viene dentro del ejecutable y no por separado. Además, carece de cualquier método o sistema de propagación masiva que le sirva para colarse en los equipos objetivo, la única manera es la ingeniería social, es decir, esperar a que el usuario haga todo el trabajo, ponerle una pistola en la sien y obligarle a hacerlo o, como en el caso de la RSA, que con la intención de ver como (NO) funciona, lo instalen para experimentar con él :jajaja:

 

A partir de aquí comienzan las pruebas, de las cuales derivan las siguientes conclusiones:

 

Aunque al principio Hand of Thief parecía un troyano comercial excitante y complejo, tras un análisis inicial se concluye que es un prototipo o prueba de concepto más que un troyano. Este malware consigue que los navegadores se cuelguen en ciertas ocasiones, demostrando una total incompetencia a la hora de recabar información del sistema infectado. Además, su eliminación es algo trivial, basta con borrar el archivo resultante de la instalación de HoT (ver cita anterior).

 

Aunque presume de estar totalmente acabado, el mecanismo de inyección web no es funcional y tampoco es capaz de comunicarse con el exterior para transmitir los datos que (NO) ha podido tomar de su víctima

 

https://blogs.rsa.com/rsa-peeks-into-the-bits-of-new-linux-based-trojan-hand-of-thief/?utm_source=rss&utm_medium=rss&utm_campaign=rsa-peeks-into-the-bits-of-new-linux-based-trojan-hand-of-thief&utm_source=twitterfeed&utm_medium=twitter

 

 

Y con esto, podemos dar por zanjado el FUD :silba:

Compartir este post


Enlace al post
Compartir en otros sitios

xDDD, era de esperarse que no funcionara en Linux, la sorpresa más grande, es que no funcionase en windows xDDDD, eso sí es una sorpresa :P

no seas tan malo con los winderos eheh

Compartir este post


Enlace al post
Compartir en otros sitios

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invitado
Responder en este tema...

×   Has incluido contenido con formato.   Eliminar formato

  Sólo se permiten 75 emoticonos como máximo.

×   Tu enlace ha sido insertado automáticamente.   Deshacer y mostrar como enlace

×   Su contenido anterior ha sido restaurado.   Limpiar editor

×   No puedes pegar imágenes directamente. Súbelas a algún hosting de imágenes y pega la dirección URL

Conéctate para seguir esto  

×
×
  • Crear Nuevo...