jueves, noviembre 01, 2012

Cyber-espía ruso grabado en webcam con su malware

Infectarse con un malware con el que estás jugando es lo más común - aún tengo disco de 5 1/4 infectados con todo mi amor -. De hecho creo que las instantáneas en el sistema operativo y en las máquinas virtuales se debieron crear solo por eso. Sin embargo, que te infecten otros a través de tu propio malware ya es un poco más enrevesado. Sobre todo si quien lo haces es un gobierno al que estás espiando y robando información.

Esta es la historia que cuenta el CERT de Georgia que ha publicado las imagenes de un "supuesto" atacante que estaba robando datos sensibles del gobierno para venderlos a las mafias y agencias de inteligencia relacionadas con el gobierno ruso. 

Detectaron la actividad de este atacante, según informa Tech News World, en Marzo de 2011 y desde entonces descubrieron que había infectado 390 equipos para robar información. El malware lo había incrustado en un formato de documento XDP (XML Data Package) que permite representar documentos PDF como ficheros XML y no levanta tantas alertas como un adjunto en PDF

Según cuentan la historia, el equipo del CERT de Georgia descubrió en qué equipos había instalado el malware y le hizo comer su propia medicina poniéndole un documento en uno de ellos con su propio malware. Cuando el atacante abrió el documento se infectó con su malware y el CERT activó la webcam para sacar esta bonitas fotos.

Figura 1: Un gran FAIL para un cyber-espía

Al final, cuando yo insisto en que lo mejor es poner la cinta en la webcam es por algo, ya que nunca estás 100% seguro cuando la protección es por software, y al final puedes acabar saliendo sexy en cualquier botnet.

Saludos Malignos!

8 comentarios:

  1. Jeje qué bueno, al final mucho pdf y xml infectado, pero donde se ponga un buen post-it tapando la cámara... Saludos!

    ResponderEliminar
  2. Algo parecido ocurrió en 2010, Andrzej Dereszowski de Signal 11 se encontró con un PDF que venía con Poison Ivy de regalo.

    Analizándolo descubrió la forma de provocar un desbordamiento de búfer en el cliente y así espiar al atacante :)

    Aquí el paper: Targeted attacks:
    From being a victim to counter attacking

    http://www.signal11.eu/en/research/articles/targeted_2010.pdf

    ResponderEliminar
  3. Coincido con lo de cubirr la camara, llevo mucho tiempo haciendolo lo que me ha valido que en casa piensen que soy un paranoico

    ResponderEliminar
  4. jejeje,
    Yo también lo hago desde el principio. Es inevitable sentirte observado con una cámara a 30 cm.
    Y en cuanto al malware era evidente que no tardarían en explotarlo.
    Lo que da miedo y nadie se preocupa por ello es el micrófono.
    Saludos,

    ResponderEliminar
  5. Hola desde México una pregunta ¿existe alguna herramienta para analizar los PDFs maliciosos?

    Me gusta la información de su blog es muy interesante gracias.

    ResponderEliminar
  6. Jejeje por eso no me gusta los ordenadores con webcam integrada. Saludos Chema

    ResponderEliminar
  7. @SRN mira en el blog de Esparza http://eternal-todo.com/blog/peepdf-v0.2-black-hat-usa-arsenal-vegas }:))

    ResponderEliminar
  8. Efectivamente, yo también sigo tu consejo y tengo puesto cinta "aislante" en la webcam, ¡jajaja, jajaja, jajaja!. Un saludo.

    ResponderEliminar