La infección exitosa de este virus ralentizará el sistema mediante la inyección del proceso del sistema y tomará el control completo del sistema a través de sesiones de escritorio remotas, robará datos personales y realizará inyecciones web con el fin de robar los datos bancarios de los usuarios.

KBOT también descarga módulos adicionales de capacidad de robo para recolectar contraseñas/inicios de sesión, datos de cripto billetera, listas de archivos y aplicaciones instaladas y enviarlos a servidores C2.

El primero de estos ataques comenzó el 9 de enero de este año, y fueron vistos por la empresa de inteligencia Bad Packets, y desde entonces han continuado en un flujo constante.

Para obtener acceso remoto desde el sistema comprometido, los atacantes que están detrás de KBOT establecen conexiones inversas con los servidores enumerados en el   archivo BC.ini .

El Virus también recibió varios comandos siguientes del servidor C2 que entrega el atacante, además, configura los ajustes del Servidor de escritorio remoto para crear varias sesiones simultáneas utilizando el protocolo RDP .

Indicadores de Compromiso (IoC)

HASH

Infected EXEs:
·         x86 — 2e3a7d4cf86025f5873ebddf3dcacf72
·         x64 — 46b3c12b44f587ae25d6f38d2a8c4e0f
Infected DLLs:
·         x86 – 5f00df73bb6e84c49b9bf33ff1d552c3
·         x64 – 1c15c98bc57c48140558d0e8d71b4ecd
Stealer:
·         c37058752b2c055ff3a3b3eac50f1350
C&C
·         213[.]252[.]245[.]229
·         my-backup-club-911[.]xyz
·         213[.]252[.]245[.]146/au.exe
·         sync-time[.]info/au.exe
·         sync-time[.]icu/au.exe
·         sync-time[.]club/au.exe

Puntos objetivos de la amenaza

  • Todos los usuarios con sistemas operativos en Windows 10.
  • Sobre todo, aquellos que tienen accesos para instalar programas en las PC’s, los procesos mencionados en esta alerta pueden ser instalados en el sistema a través de programas descargados de páginas web no confiables.
  • Equipos tecnológicos que no cuenten con la debida gestión, claves por defecto, permisos innecesarios, etc

Nuestras recomendaciones

  • A todos los usuarios que usan sistemas Windows y estén presentando una lentitud inusual, reportarlo con su área de sistemas inmediatamente.
  • Además, siempre evitar la instalación de programas gratuitos que se encuentran en internet, muchos de ellos incluyen virus.
  • Al equipo de Tecnología, se recomienda bloquear los IoC mencionados en los dispositivos de seguridad correspondientes.
  • Limitar los privilegios de instalaciones de programas en las PC’s y el acceso a páginas web de descarga de programas.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .