international

institute of cyber
securty
DropboxCache Malware
Capacitacin de hacking tico
curso de Seguridad Informtica
certificaciones seguridad informtica

DropboxCache Malware

El malware de Linux, llamado DropboxCache o

Backdoor.Linux.Mokes.a, se empaqueta con el
ltimo Packer (UPX) y tiene la capacidad de
capturar el audio y tomar capturas de pantalla. Se
copia se mismo en otras reas en el ordenador y se
conecta el servidor de comando y control (C & C),
donde se carga y almacena los datos robados. A
continuacin, se conecta a su servidor codificado C
& C. A partir de este punto, se realiza una peticin
http cada minuto segn Investigadores de curso
hacking tico.

DropboxCache Malware
Segn curso de Seguridad Informtica, esta
peticin de " heartbeat ", responde con una
imagen de un byte. Para cargar y recibir datos y
comandos, se conecta al puerto TCP 433 usando
un protocolo personalizado y el cifrado AES. El
binario viene con las claves pblicas codificadas.
El malware que recoge la informacin reunida
desde el keylogger, capturas de audio y capturas
de pantalla en / tmp /. Ms tarde, se cargar datos
a la el servidor. Al parecer, est escrito en C ++ y
Qt, un marco de aplicacin de plataforma
cruzada.

DropboxCache Malware
La puerta trasera para Windows es
OLMyJuxM.exe o Backdoor.Win32.Mokes.imv.
Esto dirige la versin de 32 bits del sistema
operativo. Despus de ser embebido que se
instala en una de las nueve ubicaciones en%
AppData% e instala las claves de registro
necesarias para mantener la persistencia.
keylogger del software malicioso a continuacin,
se pone en marcha y tambin el monitor de
entradas de mouse que se cargan en el servidor
C & C. No slo eso, sino la versin de Windows
fue equipado adems con una firma de firma de
cdigo vlido sealan expertos con
certificaciones de seguridad informtica.

DropboxCache Malware
Maestro de curso de seguridad
Informtica, entonces se crean las claves del
registro correspondientes en
HKCU\Software\Microsoft\Windows\CurrentVersio
n\Run para asegurar la persistencia en el sistema.
Despus de que el malware ejecuta su propia
copia en la nueva ubicacin, se utiliza la API
SetWindowsHook para establecer funciones de
keylogger y supervisar entradas de mouse y
mensajes internos enviados a la cola de mensajes.
La siguiente etapa en su funcionamiento es
ponerse en contacto con el servidor codificado C
& C. Adems de las direcciones IP y las claves de
cifrado diferentes a la versin de Linux.

Cmo funciona DropboxCache

Malware

Investigadores de curso hacking tico mencionan

que el cdigo tambin es capaz de capturar
imgenes desde una cmara conectada, tales
como una cmara web integrada. Desde el punto
de vista del criminal, es importante que el software
parece legtimo y que Windows no pide
confirmacin al usuario antes de ejecutar software
desconocido. En mquinas Windows esto se puede
lograr mediante el uso de certificados de firma de
cdigo de confianza. En este caso particular, el
criminal logr firmar el binario con un certificado de
confianza de " COMODO RSA Code Signing CA ".

Cmo funciona DropboxCache

Malware

Al igual que la variante de Linux, se conecta a su

servidor de C & C de la misma manera: una vez por
minuto enva una seal de transaccin a travs de
HTTP (GET / v1). Para recuperar los comandos o para
cargar o descargar los recursos adicionales, que
utiliza el puerto TCP 433. Se utiliza casi las mismas
plantillas de nombre de archivo para guardar las
imgenes obtenidas, captura de audio, keylogs y
otros datos arbitrarios segn expertos con
certificaciones seguridad informtica de
international institute of cyber security

CONTACTO

w w w. i i c y b e r s e c u r i t y. c o m

538 Homero # 303

Polanco, Mxico D.F 11570
Mxico
Mxico Tel: (55) 9183-5420
633 West Germantown Pike #272
Plymouth Meeting, PA 19462
United States
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845