Licencias para múltiples dispositivos (descuentos por volumen)

Cambia región

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Backdoors KIVARS

KIVARS

Por GoldSparrow en Backdoors
Traducir a:
Español

KIVARS es una amenaza de puerta trasera que afectó solo a los sistemas de 32 bits. Sin embargo, los ciberdelincuentes desarrollaron una segunda versión diseñada para objetivos de 64 bits. KIVARS se entrega a las computadoras comprometidas durante la segunda etapa de la cadena de ataque. La infección inicial de malware se realiza mediante una amenaza llamada ' TROJ_FAKEWORD.A ' que actúa como un cuentagotas. Una vez ejecutado, descarga dos archivos ejecutables llamados ' TROJ_KIVARSLDR ' y ' BKDR_KIVARS ' , y un documento señuelo de MS Word que sirve como un desvío que se muestra al usuario. Los archivos se colocan en:

  • % sistema de Windows% \ iprips.dll - TROJ_KIVARSLDR
  • % sistema de Windows% \ winbs2.dll - BKDR_KIVARS
  • C: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ NO9907HFEXE.doc - documento señuelo

La función de ' TROJ_KIVARSLDR ' es cargar la carga útil real de la puerta trasera desde ' BKDR_KIVARS ' y ejecutarla en la memoria. En cuanto a KIVARS, está equipado con todas las funciones dañinas que se esperan de una amenaza de puerta trasera, lo que brinda a los atacantes un control casi total sobre el sistema comprometido. Pueden manipular el sistema de archivos, descargar y cargar archivos, tomar capturas de pantalla arbitrarias, controlar el mouse y el teclado activando clics y entradas, manipular las ventanas activas, etc. La puerta trasera también está equipada con un módulo keylogger que deposita las entradas capturadas en un archivo llamado ' klog.dat. '

Durante la comunicación inicial con los servidores de Comando y Control (C2, C&C) configurados por los piratas informáticos, KIVARS incluye diversa información del sistema. La amenaza envía la dirección IP de la víctima, la versión del sistema operativo, el nombre de usuario, el nombre de host, la distribución del teclado y la carpeta del escritorio / documento reciente a los atacantes en forma cifrada. La amenaza también incluye su propia versión en los datos enviados.

Las versiones actualizadas de KIVARS que incluyen ataques contra objetivos de 64 bits muestran poca desviación en términos de funcionalidad, aparte de dos cambios importantes. En primer lugar, se asignan nombres aleatorios a los archivos del cargador y la amenaza de puerta trasera entregada. La segunda actualización afecta la forma en que se cifró la carga útil de la puerta trasera. A diferencia de las versiones anteriores de la amenaza en las que solo se cifró el byte mágico 'MZ', las variantes posteriores utilizan un algoritmo RC4 modificado para el cifrado.

Cabe señalar que los actores de amenazas detrás de KIVARS también implementaron el troyano de acceso remoto (RAT) POISON .

Tendencias

Mas Visto

Cargando...