Investigadores de Proofpoint descubrieron una nueva variante del malware “PsiXbot” con un nuevo módulo diseñado con dominios en servidores de Comand and control “codificados” con encriptación RC4, en la que resuelven las consultas DNS entregadas a través del servidor que trabaja con ese puerto sobre HTTPS (DoH) de Google, lo cual hace posible ocultar al atacante todas las consultas DNS al dominio Comand and control detrás de HTTPS.
En base a los análisis y pruebas realizadas, indican que los dominios codificados se colocan en la solicitud “GET” al dominio https://dns.google.com como una variable, esto tendrá como resultado que las direcciones IP resultantes son entregadas finalmente a las máquinas infectadas como un bloc “JSON” utilizando la API JSON de Google para las consultas DNS en formato HTTPS.
El malware Bot modular PsiXbot ha estado activo desde al menos noviembre de 2017 según Matthew Mesa de Proofpoint y se sabe que viene con una amplia gama de módulos que incluyen, un keylogger, robo de contraseñas y cookies, propagación de spam, extracción de criptomonedas, así como un programador para ejecutarse cada 60 segundos, entre otros.
Se recomienda lo siguiente:
Producto | Versión |
---|---|
Microsoft Windows |
7 8 8.1 10 |
Tipo | Indicador |
---|---|
url | http://fnoetwotb4nwob524o.hk |
url | http://v3no4to24wto24.hk |
url | http://worldismine.hk |
url | http://the-best.hk |
url | http://greentowns.hk |
url | http://wonderlands.hk |
url | http://fastyoutube.info |
url | http://realty4rent.hk |
url | http://adm1.bit |
url | http://adm2.bit |
url | http://adm3.bit |
url | http://adm4.bit |
url | http://adm5.bit |
url | http://adm6.bit |
url | http://adm7.bit |
url | http://adm8.bit |
url | http://adm9.bit |
url | http://adm10.bit |
ip | 185.228.234.204 |
ip | 5.182.39.23 |
ip | 185.228.233.135 |
ip | 185.159.129.37 |
hash | 4360c15b44db8d8e6d167eb21ff... |
hash | 7734a94e519ea121efcdd5beffb... |