Detecte botnets que pueden eludir fácilmente Windows Defender y robar datos de la billetera criptográfica

Cualquier sistema mal protegido puede ser fácilmente víctima de una botnet maliciosa.

Recientemente, Microsoft tuvo que apresurarse a lanzar una actualización relacionada con Windows Defender, que eliminó la capacidad de acceder a carpetas y archivos excluidos sin derechos de administrador. En otras palabras, los usuarios ahora se verán obligados a tener derechos de administrador para ver la lista de carpetas y archivos excluidos en Windows Defender.

Este es un cambio notable, ya que los participantes de amenazas a menudo intentan hacer un mal uso de este tipo de información para colocar cargas útiles maliciosas en directorios excluidos, con el objetivo final de eludir las reglas. Escáner de malware de Windows Defender.

Sin embargo, es posible que este método de Microsoft no funcione contra una nueva botnet llamada Kraken, que fue descubierta recientemente por el equipo de seguridad de ZeroFox. La razón es que esta red de bots simplemente se convierte en datos de exclusión en lugar de tratar de encontrar carpetas y archivos de carga excluidos, como hacen muchas otras redes de bots. Obviamente, este es un "truco" relativamente simple pero inteligente y efectivo para sortear el escaneo del malware Windows Defender.

Imagen 1 de detección de botnets que pueden eludir fácilmente Windows Defender y robar datos de Crypto Wallet

ZeroFox explica principalmente el mecanismo de acción de la botnet de la siguiente manera:

Durante la instalación de Kraken, intentará cambiar a% AppData% Microsoft.

[.]

Para ocultarse de Window Defender, Kraken ejecuta los siguientes dos comandos:

powershell -Comando Add-MpPreference -ExclusionPath% APPDATA% Microsoft

atributo + S + H% APPDATA% Microsoft

ZeroFox señala que Kraken es principalmente un software de robo de datos malicioso, similar al sitio web falso recientemente descubierto similar a Windows 11. Los expertos también agregaron que la habilidad más peligrosa de Kraken en este momento es robar información relacionada con las billeteras de los usuarios de criptomonedas.

La característica adicional más peligrosa de la botnet es la capacidad de robar varias billeteras criptográficas de los siguientes lugares:

  1. % Datos de la aplicación% Zcash

  2. % AppData% Armería

  3. % datos de aplicación% bytecoin

  4. % AppData% Monederos electrónicos

  5. % AppData% almacén de claves de Ethereum

  6. % AppData% Exodusexodus.wallet

  7. % AppData% GuardaLocal Storageleveldb

  8. % AppData% atomicLocal Storageleveldb

  9. % AppData% com.liberty.jaxxIndexedDBfile__0.indexeddb.leveldb

Puede encontrar más detalles sobre cómo funciona la botnet Kraken en la publicación del blog ZeroFox AQUÍ.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!