Noticias de Seguridad Julio 2019

Nuevo troyano bancario basado en una extensión de Chrome afecta a entidades Latinoaméricanas

En los últimos días se ha detectado en Hispasec un nuevo troyano bancario que utiliza una extensión de Chrome para robar las credenciales de acceso bancario.

El pasado 23 de julio llegó a los sistemas de detección y análisis de malware de Hispasec una nueva muestra de troyano bancario que utiliza un nuevo esquema para el robo de datos bancarios.

Este nuevo esquema de funcionamiento incluye dos componentes principales:

  • Configuración de un proxy malicioso en la configuración del sistema operativo.
  • Uso de una extensión maliciosa para el navegador Google Chrome que se encarga de redirigir las peticiones a las páginas web que alojan el phishing bancario.

Infección

La infección se lleva a cabo a través de un script para «wscript», que actua de ‘dropper‘, y cuyo código se encuentra muy ofuscado. Este script es el encargado de instalar los dos componentes necesarios.

En primer lugar configura el sistema para utilizar un servidor proxy malicioso que se encargará de resolver y responder las peticiones realizadas a la web de phishing.

Configuración del proxy a través del registro del sistema

Como se puede observar en la imagen, el script modifica el valor del registro «AutoConfigURL» para la configuración de Internet, lo que permite no solo configurar un proxy malicioso en el equipo, sino también mantener actualizada la dirección IP del proxy a utilizar.

A continuación, el script descarga un fichero comprimido en formato ZIP que contiene la extensión maliciosa para Google Chrome y un instalador legítimo de Google Chrome Canary.

Una vez descargado el ZIP, lo descomprime e inicia el instalador de Google Chrome, sin importar si ya existe una versión de Google Chrome instalada en el equipo. Una vez instalado y configurado el navegador, se configura como navegador predeterminado.

Robo de Credenciales

En este momento, entra en juego la extensión maliciosa, que solicita al navegador permisos para interceptar las peticiones web a los dominios de las entidades bancarias afectadas y bloquearlas.

Permisos solicitados por la extensión en el «manifest.json»

Con estos permisos, la extensión puede detectar el acceso por parte del usuario a la web del banco, y redirigir la petición a otra URL en la que se aloja la web de phishing para robar las credenciales de acceso.

Código que intercepta y redirige las peticiones

Como podemos apreciar, las redirecciones para cada entidad se realizan a subdominios «ww«, en lugar del habitual «www«. Esto reduce la posibilidad de que el usuario detecte que no se trata del dominio habitual.

Estos subdominios no se encuentran en uso, por lo que será el servidor proxy malicioso el encargado de resolver los nombres de dominio y responder con el contenido de la web de phishing.

Web de phishing resuelta y servida por el servidor proxy malicioso

Entidades afectadas

Las entidades afectadas por este troyano bancario son entidades de Latinoamérica, entre las que se encuentran BBVA, Banco Santander, BCI o Scotia Bank.

Conclusiones

Tras el análisis realizado por el equipo de análisis de malware de Hispasec, podemos ver que se trata de un nuevo esquema de funcionamiento de troyano bancario. Si bien es cierto que existen troyanos conocidos como «ProxyChanger» que modifican la configuración del sistema para añadir un proxy malicioso que se encargue del robo de datos, en este caso se introduce un componente adicional como es la extensión de Google Chrome que apoya el ataque y lo hace efectivo.

Este tipo de ataques, permiten pasar más desapercibidos, puesto que los motores antivirus no están suficientemente preparados para la detección de extensiones maliciosas para el navegador, además de hacer el ataque más difícil de identificar por parte del usuario.

Aunque el código del dropper se encuentra muy ofuscado, no ocurre lo mismo con el código de la extensión. Además, la funcionalidad de la extensión es bastante simple y se limita a realizar una redirección hacia un subdominio que pasará desapercibido para el usuario. Esto nos invita a pensar que se trata de una primera versión del malware, y que en el futuro podríamos encontrar nuevas versiones más complejas e incluso versiones que afecten a nuevas entidades bancarias más allá de Latinoamérica.

IOCs

Si desea más información sobre el troyano, como los indicadores de compromiso o los hash de las muestras, contacte con nuestro departamento de malware escribiendo un correo electronico a: malwaredept@hispasec.com

VLC no es vulnerable y no tienes que desinstalarlo

La vulnerabilidad llevaba parcheada 16 meses y no formaba parte VLC, aunque un cúmulo de malas prácticas han permitido que la noticia llegue hasta los medios

Esta no es una noticia sobre una nueva vulnerabilidad como estamos acostumbrados, sino sobre los medios, el sector de la seguridad y la falta de rigor. VLC, uno de los reproductores más populares, se ha visto sumido en una campaña de desprestigio solicitando su desinstalación por un fallo ya parcheado desde hace más de un año.

La vulnerabilidad de la disputa se encuentra en la biblioteca libebml, encargada de interpretar los metadatos XML de los vídeos Matroska (MKV) y no en el código de VLC. Dicha vulnerabilidad que permitía la ejecución remota de código (RCE) ya fue solucionada hace 16 meses, e incluida con la versión 3.0.3 de VLC hace más de un año, siendo la versión actual la 3.0.7.

La razón por la que el analista de seguridad que «redescubrió» la vulnerabilidad pudo reproducirla se debe a que estaba usando una versión sin soporte de Ubuntu. En vez de contrastar si su versión era la última y qué versiones eran vulnerables, abrió un reporte por el canal incorrecto, notificándose en el bugtracker de VLC en vez de por el email privado de seguridad preparado para ello. Debido a que el fallo no era reproducible en sistemas actualizados y a la falta de información, el reporte no pudo tratarse.

Al mismo tiempo, MITRE abría un CVE para la vulnerabilidad sin contactar con el equipo de VLC a pesar de violar sus propias políticas, y por si fuera poco NVD no respondía a las peticiones de VLC solicitando que se corrigiera la información del CVE. La vulnerabilidad recibió además la puntuación de 9.8 (crítica) siendo la correcta 5.5 (ya corregida).

La prensa en vez de contrastar o comprobar en qué consistía el fallo se apresuró a publicar noticias alarmistas por la vulnerabilidad, siendo el detonante la escrita en Gizmodo con título «You Might Want to Uninstall VLC. Immediately». Por supuesto, otros medios se hicieron eco de la noticia con titulares del mismo tipo.

Los medios ya están actualizando las noticias publicadas, pero el daño ya está hecho. La reputación de VLC se ha visto dañada, y muchos usuarios habrán desinstalado el reproductor a pesar de no existir riesgo en la actualidad.

Más información:

A thread written by @videolan:
https://threader.app/thread/1153963312981389312

Ciberataque en Bulgaria: filtrada información privada de millones de ciudadanos.

El presunto responsable, Christian Boykov, detenido hace unos días, ha sido puesto en libertad recientemente. Aprovechó fallos graves de seguridad de la NRA – el equivalente búlgaro de nuestro Ministerio de Hacienda – para conseguir información sensible de millones de ciudadanos del país.

Imagen de archivo de Christian Boykov

El país ha sufrido el mayor ataque informático de su historia. Distintas fuentes discrepan del número total de afectados, aunque se estima en millones de personas, en un país cuyo censo asciende a aproximadamente a 7 millones. Como consecuencia del incidente y en virtud de la aplicación de la GDPR, laagencia tributaria búlgara se enfrenta a multas de hasta 20 millones de euros.

El presunto sospechoso trabaja como investigador en ciberseguridad y posee formación oficial para la lucha contra el cibercrimen organizado. No obstante, no es la primera vez que salta a la palestra. En 2017 intervino públicamente en televisión para hacer pública una vulnerabilidad encontrada en el Ministerio de Educación de su país, que previamente había reportado a los responsables gubernamentales sin obtener respuesta alguna. Ese incidente le sirvió para ser contratado como profesional de ciberseguridad por la empresa de informáticaTAD Group, donde seguía trabajando hasta el momento de su detención.

Los detalles técnicos del ataque aún se desconocen, aunque varias fuentes hablan de una filtración de, aproximadamente, 21Gb de información sensible y fiscal de la población búlgara. Igualmente, los diagnósticos en torno a la causa de la brecha difieren entre las partes. Existen declaraciones en el Twitter del atacante donde se alude a la nula securización de las infraestructuras búlgaras. Estas declaraciones, además, vienen avaladas por comentarios de responsables de seguridad gubernamentales que aluden a informes previos donde ya se alertaba del pésimo estado de la seguridad informática del país. En ese sentido, se habla de una filtración que afecta a casi el 70% de la población.

El presidente, sin embargo, afirma que el alcance del incidente es mucho menor del que ha trascendido a los medios y a reseñado la necesidad de contratar «cerebros únicos» como los del presunto atacante, para defender el país contra los crímenes informáticos.

Por otra parte, los técnicos que han tenido acceso a los datos y registros del ataque afirman que el atacante está lejos de haber demostrado cualquier virtuosismo durante la intrusión. Los técnicos insisten en que el atacante se ha limitado a hacer uso de técnicas realmente simples.

Más información:
https://www.24chasa.bg/novini/article/7565893
https://www.infobae.com/america/tecno/2019/07/18/un-hackeo-masivo-expuso-los-datos-de-millones-de-habitantes-en-bulgaria/

EvilGnome: un nuevo backdoor para usuarios de escritorio Linux

Es un hecho conocido que existen muy pocas cepas de malware de Linux en la naturaleza en comparación con los virus de Windows debido a su arquitectura central y también a su baja participación en el mercado, y muchos de ellos ni siquiera tienen una amplia gama de funcionalidades.

En los últimos años, incluso después de la revelación de graves vulnerabilidades críticas en varios tipos de sistemas operativos y software Linux, los ciberdelincuentes no lograron aprovechar la mayoría de ellos en sus ataques. Sin embargo, los investigadores de la firma de seguridad Intezer Labs descubrieron recientemente un nuevo implante de backdoor de Linux que parece estar en fase de desarrollo, pero ya incluye varios módulos maliciosos para espiar a los usuarios de este escritorio.

Funcionamiento de EvilGnome:

El malware en cuestión ha sido diseñado para tomar capturas de pantalla de escritorio, robar archivos, capturar grabaciones de audio desde el micrófono del usuario, así como descargar y ejecutar más módulos maliciosos.

Segun informan los propios investigadores de Intezer Labs, la muestra de EvilGnome que se descubrió en VirusTotal también contiene una funcionalidad de keylogger inacabada, lo que indica que su desarrollador lo cargó en línea por error.

El malware se disfraza como una extensión legítima de GNOME, un programa que permite a los usuarios de Linux ampliar la funcionalidad de sus escritorios.

El implante de Linux también gana persistencia en un sistema específico utilizando crontab, similar al programador de tareas de Windows, y envía datos de usuario robados a un servidor remoto controlado por un atacante.

Módulos utilizados:

  • ShooterSound : este módulo utiliza PulseAudio para capturar el audio del micrófono del usuario y carga los datos en el servidor de C&C del operador.
  • ShooterImage : este módulo utiliza la biblioteca de código abierto de Cairo para capturar capturas de pantalla y cargarlas en el servidor de C&C. Lo hace abriendo una conexión con el servidor de visualización XOrg, que es el backend del escritorio de Gnome.
  • ShooterFile : este módulo utiliza una lista de filtros para escanear el sistema de archivos en busca de archivos recién creados y los carga en el servidor de C&C.
  • ShooterPing : el módulo recibe nuevos comandos del servidor de C&C, como descargar y ejecutar nuevos archivos, establecer nuevos filtros para el escaneo de archivos, descargar y establecer una nueva configuración de tiempo de ejecución, exfiltrar la salida almacenada al servidor de C&C y detener la ejecución de cualquier módulo de disparo.
  • ShooterKey : este módulo no está implementado ni se usa, lo que probablemente es un módulo de registro de teclas sin terminar.

En particular, todos los módulos anteriores cifran sus datos de salida y descifran los comandos recibidos del servidor C&C con la clave RC5 «sdg62_AS.sa $ die3», utilizando una versión modificada de una biblioteca de código abierto rusa.

¿Cómo detectar si estás infectado por EvilGnome?

Para verificar si su sistema Linux está infectado con el software espía EvilGnome, puede buscar el ejecutable «gnome-shell-ext» en el directorio «~/.cache/gnome-software/gnome-shell-extensions«.

Dado que los productos de seguridad y antivirus actualmente no detectan el malware EvilGnome, los investigadores recomiendan a los administradores de Linux preocupados que bloqueen las direcciones IP de Comando y Control enumeradas en la sección IOC de la publicación del blog de Intezer.

Más información:

EvilGnome: Rare Malware Spying on Linux Desktop Users
https://www.intezer.com/blog-evilgnome-rare-malware-spying-on-linux-desktop-users/

Muestra EvilGnome en VirusTotal
https://www.virustotal.com/gui/file/7ffab36b2fa68d0708c82f01a70c8d10614ca742d838b69007f5104337a4b869/detection

Vulnerabilidad en WhatsApp y Telegram permite la manipulación de ficheros

Se ha descubierto una vulnerabilidad en WhatsApps y Telegram que permitiría el acceso y manipulación de los ficheros del usuario.

La vulnerabilidad ha sido descubierta por el equipo de seguridad de sistemas operativos modernos de la firma antivirus ‘Symantec’ y ya ha sido bautizada como ‘Media File Jacking’ y afecta a las aplicaciones WhatsApp y Telegram de la plataforma Android.

El error se da sólo en dos precisos instantes: En el momento en el que la aplicación ha recibido un fichero y lo está escribiendo en la unidad física, y en el momento en el que la aplicación está cargando los ficheros en la Interfaz de Usuario (UI).

Por defecto, la lectura y escritura se hacen en directorios públicos, siendo ‘/storage/emulated/0/WhatsApp/Media/’ el directorio por defecto de WhatsApps y ‘/storage/emulated/0/Telegram/’ el directorio de Telegram, directorios que por defecto son accesibles por una aplicación que tenga permiso para utilizar la memoria externa del teléfono.

Algún lector le habrá saltado la alarma preguntándose: “Si cualquier aplicación con permisos para manipular la unidad extraible… ¿Qué tiene de nuevo o cómo puede afectar la vulnerabilidad?”. Pues la clave está en el permiso ‘WRITEEXTERNALSTORAGE’ que permite la lectura en tiempo real de los archivos que se guardan en memoria sin importa si el fichero pertenece a la aplicación o no. Esto permitiría una manipulación de un fichero e incluso antes de ser mostrado al usuario, pudiendo tener unos efectos devastadores. Ya que el usuario podría tener plena confianza en que un fichero que acaba de recibir de una persona de confianza fuera malicioso.

De esta forma un ataque podría perpetrarse de la siguiente manera:

  • Un usuario descarga una aplicación (maliciosa) que requiera el permiso ‘WRITEEXTERNALSTORAGE’, cosa que no es nada fuera de lo normal.
  • El usuario a continuación recibe un mensaje de una persona de mucha confianza a través de una estas aplicaciones vulnerables, y que hoy en día son tan comunes en nuestro día a día, y que puede ser leída en tiempo real por la aplicación maliciosa recién instalada.
  • La aplicación maliciosa, lee y manipula el fichero recibido a voluntad antes de que sea mostrado al usuario, con el riesgo que pueda acarrear esta acción.

Los investigadores han publicado varios vídeos dónde pueden apreciarse la manipulación de varios ficheros: Una imagen, un documento PDF y un mensaje de voz.

Como posible contramedida se recomienda desactivar el guardado automático de los ficheros, para que en la medida de lo posible puedan ser recibidos en otras aplicaciones que no son vulnerables como las web o las de escritorio. Aunque lo más recomendable para ficheros confidenciales o con información sensible, es utilizar otro canal de comunicación.

Más información:

Symantec Mobile Threat: Attackers Can Manipulate Your WhatsApp and Telegram Media Files
https://www.symantec.com/blogs/expert-perspectives/symantec-mobile-threat-defense-attackers-can-manipulate-your-whatsapp-and-telegram-media

Ransomware a vista de pájaro

Cuando escuchamos la palabra ransomware a muchos de nosotros se nos erizan los pelos de los brazos al imaginar todos nuestros archivos secuestrados por algún ciberdelincuente que intenta sacar tajada.

A continuación veremos las principales vías de propagación que utilizan los atacantes para infectar a las víctimas y algunos consejos para intentar defendernos.

Propagación

Aunque existen diversas formas de propagación, alguna de ellas muy imaginativa, el vector más común de difusión es por correo electrónico.

Cabe destacar que, aunque paguemos el rescate por nuestros datos, nadie nos asegura que el atacante vaya a enviarnos la clave de descifrado. Además, si pagamos el rescate, es posible que el atacante vuelva a cifrar nuestros datos para volver a obtener su recompensa.

Ingeniería social – El archivo infectado suele adjuntarse al correo como .doc, .docx, .xls o .xlsx. se intenta persuadir al usuario para que abra el archivo y poder ejecutar las macros. Una vez se ejecutan el equipo queda infectado.

Malvertising – En esta variante el atacante crea una red publicitaria para distribuir el malware. El anuncio falso puede mostrarse en sitios legítimos, cuando el usuario hace click en el anuncio, el malware es descargado en el equipo.

Kits de exploiting – Los atacantes desarrollan código para aprovechar vulnerabilidades. Este tipo de ataque puede infectar a cualquier equipo conectado en red que tenga un software desactualizado.

¿Que pasa después de la descarga?

El ransomware tiene muchas formas de mostrarse al usuario, desde que empezó a popularizarse se ha ido actualizando para hacerlo más sofisticado y destructivo, por lo que no es de extrañar encontrarse casos de malware asociado en el que nuestro secuestro de datos venga acompañado de otros programas maliciosos que roben información, abran puertas traseras o instalen botnets que zombiefiquen nuestro terminal.

A continuación se nos puede pedir un pequeño rescate mediante el envío de un SMS, aunque con la constante evolución que ha sufrido este tipo de ataques ha ido perfeccionando el método de pago, por lo que, actualmente, suele pedirse la realización de una transferencia a un monedero electrónico. Esto permite maximizar la anonimización por parte del atacante.

A medida que se han ido sofisticando los métodos de pago también se han ido añadiendo mejoras al mecanismo de extorsión utilizado por los atacantes. En el último año, según Kaspersky, el número de ataques se quintuplicó. También se duplicaron los ataques a usuarios corporativos.

Este tipo de malware no solo cifra los datos de nuestro ordenador, cada vez se está popularizando más en dispositivos móviles e IoT.

¿Cómo puedo protegerme?

El ransomware suele trabajarse desde la prevención, por lo que las primeras medidas que se deben adoptar pasan por la concienciación y la formación, dos bloques imprescindibles que nos ayudarán a obetener buenos hábitos.

Dentro del bloque de formación se recomienda adquirir conocimientos que nos ayuden a identificar ataques de ingeniería social.

Consejos rápidos:

  • No abras correos de usuarios desconocidos y desconfía de los archivos adjuntos que contengan.
  • Mantén actualizado nuestro sistema.
  • Revisa los links antes de hacer click.
  • Asegúrate de tener contraseñas robustas.
  • Haz copias de seguridad con regularidad.

Desde el punto de vista más técnico tenemos que tener especial cuidado en la vigilancia de la infraestructura de nuestro sistema para asegurar que los servicios internos de la empresa no se vean expuestos al exterior.

Páginas en local permiten el robo de ficheros en Firefox desde hace 17 años

La vulnerabilidad sólo requiere abrir un fichero .html malicioso con el navegador para tener acceso a los archivos del directorio.

FX_Design_Blog_Header_1400x770.0

Según ha demostrado Barak Tawily, un analista de seguridad que ya reportó una vulnerabilidad similar, la implementación de Same Origin Policy (SOP) de Firefox para el esquema «file://» permite listar y acceder a ficheros del mismo directorio y subdirectorios. Un atacante podría mediante un fichero .html descargado de Internet y abierto con Firefox acceder a todos los archivos donde se descargó el documento.

La vulnerabilidad, que todavía no ha sido parcheada y no se espera que se solucione de momento, se debería a que el RFC de ‘SOP’ para el esquema «file://» no deja claro cual debe ser el comportamiento en estos casos, por lo que cada navegador acaba haciendo su propia implementación del estándar.

En la prueba de concepto (PoC) realizada por Tawily y grabada en vídeo puede comprobarse cómo abriendo un fichero ‘.html’ descargado y abierto desde las descargas de Firefox sin que se muestre ningún aviso es posible acceder a ficheros sensibles del directorio sin que el usuario se dé cuenta.

El fallo en realidad no es nuevo, pues ya fue reportado en Netscape 6 y Mozilla en el 2002, reportándose en nuevas ocasiones con el mismo efecto.

De momento la única solución es no abrir ficheros ‘.htm’ o ‘.html’ de local utilizando Firefox. Una posible alternativa, y sólo si es estrictamente necesario, sería copiar el archivo a una carpeta vacía, y abrirlo desde dicha carpeta.

Más información:

Firefox Local Files Theft – not patched yet:
https://quitten.github.io/Firefox/

Dos ciudades de Florida pagaron más de un millón de dólares a cibercriminales debido a ataques de rasomware

Florida ha pagado, en dos semanas, más de 1,1 millones de dólares en bitcoins a cibercriminales para así poder recuperar archivos que han sido cifrados tras un ataque de ransomware. Las ciudades afectadas han sido Riviera Beach y Lake City.

Lake City, una ciudad al norte de Florida, pagó el pasado lunes 24 de junio 42 bitcoins, que es el equivalente a unos 573,300 dólares, para descifrar teléfonos móviles y correos que fueron cifrados tras un ransomware que paralizó sus sistemas informáticos durante 2 semanas.

Este ataque se denominó «Triple Amenaza» puesto que combinaba tres métodos diferentes para atacar a los sistemas conectados en red. Esta infección que afectó a Lake City fue llevada a cabo después de que un empleado del ayuntamiento abriera un correo electrónico malicioso el pasado 10 de junio.

Aunque el equipo de soporte desconectó los ordenadores 10 minutos después de que comenzase el ataque, ya era demasiado tarde, el ataque se expandió y bloqueó las cuentas de correo y de los servidores de los trabajadores de la ciudad.

Como los departamentos de Policía y Bomberos trabajaban desde una red y servidor distintos (disponían de una red y estructura de servidores segmentada), fueron los únicos que no fueron afectados por el ataque. Por otro lado, otras redes de Lake City están actualmente deshabilitadas. También es importante destacar que los servicios de Seguridad Pública no se han visto afectados por el ataque.

Los cibercriminales contactaron con la aseguradora de la ciudad y negociaron el pago de un rescate de 42 bitcoins. Los funcionarios de Lake City votaron el lunes 24 pagar el rescate y poder así recuperar el acceso a los archivos.

Este pago por el rescate estaría cubierto principalmente por el seguro, aunque los contribuyentes incurrirían en 10,000$.

Lake City es la segunda ciudad de Florida afectada por el ransomware. La otra ciudad fue Riviera Beach, la cual fue víctima de un ataque de ransomware el 29 de mayo después de que otro empleado abriese un link malicioso dentro de un correo cuidadosamente elaborado para efectuar el ataque.

Este ataque bloqueó los ordenadores de la ciudad por, al menos, 3 semanas. Tras estos sucesos, el Ayuntamiento de la ciudad autorizó a la aseguradora de la ciudad para que pagase el rescate de 65 Bitcoins (897,650 dólares actualmente) para poder recuperar el acceso a sus sistemas bloqueados.

En lugar de pagar el rescate, la recomendación es disponer de copias de seguridad que se realicen de forma periódica en dispositivos independientes y cifrados que no estén conectados a la red, así cómo disponer de un plan de contingencia y formar a los empleados para que no abran correos que puedan ser sospechosos al igual que no abrir todos los archivos que se reciban.

OceanLotus APT usa el RAT Ratsnif en sus ataques.

El troyano de acceso remoto llamado Ratsnif, usado es campañas de ciber-espionaje, tiene ahora nuevas capacidades; permite modificar paginas web y secuestro SSL.

OceanLotus es un grupo de hacking que se cree que actua en nombre del estado Vietnamita en las operaciones de espionaje.

También conocido como APT32, CobalKitty, SeaLotus y APT-C-00 en la comunidad infosec, los atacantes típicamente combinan malware único con utilidades comerciales como Cobalt Strike.

Investigadores de Blackberry Cylance analizaron cuatro variantes de la familia de Ratsnif donde se muestra como evoluciona de un build de debug a una version release con capacidades como tráfico de paquetes, ARP, DNS y MAC spoofing, redirección e inyección HTTP y habilitar una shell de acceso remoto.

Las tres primeras versiones que Cylance vió tienen una fecha de compilación de 2016, mientras que la última, también reportada por Macnica Networks, era de agosto de 2018.

La versión más antigua de Ratsnif vista por los investigadores es una build debug que fue compilada el 5 de agosto de 2016; el dominio para el servidor C2 fue activado el mismo día.

Menos de un día después, apareció una nueva versión con cambios menores. Ambas muestras se escanearon en VirusTotal en busca de detecciones.

Un tercer desarrollo, con fecha de compilación el 13 de Septiembre de 2016, era muy similar en funcionalidad con las dos muestras previas. Los investigadores creen que es una de las primeras versiones desplegadas de Ratsnif por el grupo OceanLotus.

No tiene todas las capacidades de la última versión pero podía configurar una shell remota y servir para ARP spoofing, DNS spoofing y redirección HTTP.

Más Información:

https://www.bleepingcomputer.com/news/security/oceanlotus-apt-uses-new-ratsnif-trojan-for-network-attacks/