Nueva variante de Malware PsiXbot con capacidad modular

10 Septiembre 2019
Alto
Amenaza

Investigadores de Proofpoint descubrieron una nueva variante del malware “PsiXbot” con un nuevo módulo diseñado con dominios en servidores de Comand and control “codificados” con encriptación RC4, en la que resuelven las consultas DNS entregadas a través del servidor que trabaja con ese puerto sobre HTTPS (DoH) de Google, lo cual hace posible ocultar al atacante todas las consultas DNS al dominio Comand and control detrás de HTTPS.

En base a los análisis y pruebas realizadas, indican que los dominios codificados se colocan en la solicitud “GET” al dominio https://dns.google.com como una variable, esto tendrá como resultado que las direcciones IP resultantes son entregadas finalmente a las máquinas infectadas como un bloc “JSON” utilizando la API JSON de Google para las consultas DNS en formato HTTPS.

El malware Bot modular PsiXbot ha estado activo desde al menos noviembre de 2017 según Matthew Mesa de Proofpoint y se sabe que viene con una amplia gama de módulos que incluyen, un keylogger, robo de contraseñas y cookies, propagación de spam, extracción de criptomonedas, así como un programador para ejecutarse cada 60 segundos, entre otros.

Mitigación

Se recomienda lo siguiente:

  • Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Evitar instalar programas de sitios que no sean oficiales.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
  • Tener activado el UAC (control de cuentas de usuario) de Windows.
Tags: #psixbot #bot #comandandcontrol #malware # Windows #Malvertising
Fuentes utilizadas
https://www.bleepingcomputer.com/news/secu...
https://twitter.com/hashtag/PsiXBot?src=hash
https://www.proofpoint.com/us/threat-insig...
Entel Corp.
Torre Entel,
Santiago, Chile
Enlaces Internos
Blogs de Seguridad


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.