Los investigadores de ciberseguridad de KrakenLabs de Outpost24 han observado una campaña de malware nueva y única que parece valorar la cantidad sobre la calidad.
Normalmente, cuando los piratas informáticos comprometen un dispositivo, implementan una sola pieza de… malware Intentan en la medida de lo posible permanecer invisibles y persistentes, mientras utilizan la computadora para cualquier objetivo final que tengan.
Pero esta nueva campaña, denominada Unfurling Hemlock, hace justo lo contrario: la destaca en el mundo del cibercrimen. Una vez que una víctima ejecuta el archivo ejecutable del malware, en este caso llamado “EXTRACT.EXE”, recibe un puñado de malware, software de robo de información y archivos de malware diferentes, dicen los investigadores.
Bomba de racimo de malware
Las probabilidades de que las soluciones de ciberseguridad detecten malware son altas, pero los investigadores creen que los atacantes esperan que al menos algunas de las cargas útiles sobrevivan al proceso de desinfección. Entre los que se caen en los dispositivos se encuentran Redline (un ladrón popular), RisePro (un ladrón próximo), Mystic Stealer (un ladrón malicioso como servicio), Amadey (un descargador), SmokeLoader (otro descargador) y Protective Disabler (una utilidad). que deshabilita Windows Defender y otras características de seguridad), Enigma Packer (una herramienta de ofuscación), Healer (una solución de seguridad) y Performance Checker (una utilidad que verifica y registra el rendimiento de ejecución de malware).
Los investigadores dijeron que esta “dañina bomba de racimo” fue detectada por primera vez en febrero de 2024, y afirmaron haber visto más de 50.000 archivos de bombas de racimo, todos con características únicas que los vinculan con la cicuta desplegable.
KrakenLabs no ha podido determinar con certeza quiénes son los actores de amenazas detrás de Unfurling Hemlock, pero están bastante seguros de que son de origen de Europa del Este. La evidencia que indica esta tendencia incluye el uso del idioma ruso en algunas muestras y el uso del sistema autónomo 203727, relacionado con el servicio de alojamiento comúnmente utilizado por los grupos de ciberdelincuencia en la región.
Afortunadamente, el malware impulsado a través de esta campaña es bien conocido y la mayoría de los programas antivirus de buena reputación lo marcarán.
Suscríbase al boletín informativo TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
Los expertos advierten que ha resurgido Medusa, el troyano bancario de Android que lleva casi un año en declive.
Nuevo y ligero Medusa Se ha observado que muchos actores de amenazas utilizan esta variante, apuntando a víctimas en varios países del mundo, señalaron investigadores de ciberseguridad de Cleafy.
Los investigadores dijeron en su informe que recientemente notaron un aumento significativo en las instalaciones de una nueva aplicación llamada “4K Deportes”. Una investigación posterior encontró que la aplicación es una evolución de Medusa, con cambios importantes en su infraestructura y capacidades de conducción.
Ampliar objetivos
En particular, la nueva variante solicita menos permisos, lo que la hace menos detectable. Todavía requiere servicios de accesibilidad, lo que siempre debería ser una señal de alerta. Otras señales notables incluyen la transmisión de SMS, el servicio de reenvío de Internet y la gestión de paquetes.
En total, se eliminaron 17 comandos y se introdujeron cinco comandos nuevos, incluida la configuración de una superposición de pantalla negra, la toma de capturas de pantalla y más.
Utilizando la nueva Medusa se han identificado cinco botnets diferentes, cada una con objetivos operativos y geográficos únicos. Estos sitios se denominan UNKN, AFETZEDE, ANAKONDA, PEMBE y TONY, y sus objetivos estaban ubicados principalmente en Canadá, España, Francia, Italia, Reino Unido, Estados Unidos y Turquía.
Para distribuir Medusa, las botnets probablemente utilizarían trenes, dijeron los investigadores. Sin embargo, no se encontraron trenes en Google Play Store, lo que reduce significativamente su alcance. Sin embargo, los sitios web dedicados, los canales de redes sociales, el phishing y otras tácticas siguen siendo viables y pueden generar cientos de miles de descargas.
Suscríbase al boletín informativo TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
El troyano bancario Medusa, que no debe confundirse con el ransomware o la botnet del mismo nombre basada en Mirai, es un sofisticado malware diseñado principalmente para atacar a instituciones financieras y facilitar el fraude bancario. Se identificó por primera vez en 2020 y tenía como objetivo las instituciones financieras turcas. Para 2022, Medusa había lanzado importantes campañas en Norteamérica y Europa.
manzana Los dispositivos tienen desde hace mucho tiempo la reputación de ser intrínsecamente más seguros que otros. Sistemas operativos. Incluso la infame campaña publicitaria “Consigue una Mac” de Apple destacó la seguridad de Mac y se burló de algunas características de seguridad de Windows.
Cuando se lanzó esta campaña en 2006, esta afirmación puede haber sido cierta. Mac Suelen ser más comunes como dispositivos personales, lo que los convierte en una señal menos atractiva para los ciberdelincuentes que atacan objetivos corporativos.
Sin embargo, a medida que Apple se ha hecho un hueco más grande en el lugar de trabajo, este status quo ha cambiado y los dispositivos Apple son ahora un objetivo lucrativo para los actores de amenazas. Estamos viendo un conjunto más diverso de amenazas dirigidas al ecosistema de Apple y las organizaciones deben estar preparadas para defenderse.
Amenazas crecientes en el ecosistema Mac
En el pasado, el panorama de malware para Mac era principalmente adware, que generalmente mostraba o descargaba material no deseado pero carecía en gran medida de amenazas más graves. Esto significa que los equipos de seguridad pueden haberse sentido cómodos con operaciones menos estrictas, porque son más riesgosas y difíciles. malware Fue insoportable.
Sin embargo, en los últimos años, los grupos de ciberdelincuentes han incrementado sus esfuerzos para encontrar vulnerabilidades y crear malware que explote el sistema operativo iOS o macOS. La última investigación anual sobre amenazas de Jamf rastreó 300 familias de malware diseñadas para macOS y 21 familias creadas recientemente en 2023.
No sólo está aumentando el número de familias de malware, sino también el tipo de amenazas observadas. Si bien el adware sigue siendo el principal problema y representa el 36,77% de todo el malware detectado en Mac, ahora estamos viendo una mayor proporción de riesgos como troyanos, Secuestro de datosy amenazas persistentes avanzadas (APT).
Esto significa que las organizaciones que operan dentro del ecosistema de Apple ahora tienen que lidiar con malware que representa un riesgo mucho mayor que el adware. Por ejemplo, los troyanos están diseñados específicamente para eludir las defensas tradicionales haciéndose pasar por software legítimo, mientras que los ataques criptográficos tienen el potencial de ser altamente destructivos y costosos para las empresas.
Suscríbase al boletín TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
Susan Scaria
Director senior de estrategia de seguridad EMEIA en Jamf.
El alarmante estado de la ciberseguridad
Además de crear nuevo malware, los ciberdelincuentes continúan desarrollando y mejorando sus técnicas de ingeniería social. Esto significa que las organizaciones necesitan un fuerte enfoque en la higiene cibernética tanto para las operaciones técnicas como para los usuarios. Desafortunadamente, descubrimos que las empresas a menudo no cumplieron con lo esperado.
El phishing sigue siendo una amenaza importante y los atacantes están particularmente interesados en explotar a los usuarios de dispositivos móviles. Descubrimos que los intentos de phishing desde dispositivos móviles tienen aproximadamente un 50 % más de éxito que los intentos de phishing desde computadoras de escritorio, lo que destaca una vulnerabilidad que se extiende más allá de los dispositivos informáticos tradicionales.
También descubrimos que los dispositivos móviles eran muy vulnerables a las vulnerabilidades. El 40% de los usuarios de dispositivos móviles en nuestra investigación utilizaron dispositivos con vulnerabilidades conocidas que no fueron parcheados, lo que demuestra que los teléfonos móviles no suelen ser administrados ni parcheados en el mismo grado que las computadoras de escritorio.
No se puede subestimar la importancia de las actualizaciones periódicas y los estrictos protocolos de seguridad. Esta supervisión expone a las organizaciones a un gran daño. ciberseguridad Riesgos, ya que el software heredado a menudo carece de las defensas necesarias contra las nuevas amenazas emergentes. Por ejemplo, el software espía Pegasus normalmente aprovecha las vulnerabilidades de día cero tanto en dispositivos nuevos como antiguos.
Para complicar aún más las cosas, las configuraciones de seguridad importantes, como el cifrado y las pantallas de bloqueo, con frecuencia se desactivan, lo que facilita a los atacantes el acceso a datos confidenciales una vez que el sistema se ve comprometido.
Esto es especialmente crítico ya que el volumen y la variedad de malware siguen aumentando y un número cada vez mayor de atacantes ponen sus miras en las Mac. Las organizaciones que anteriormente se salían con la suya con procesos de seguridad laxos para sus dispositivos Apple pronto podrían ver que se les acaba la suerte.
Mejores prácticas para reducir el malware de Mac
Las organizaciones deben adoptar una postura de seguridad más proactiva para combatir la creciente amenaza del malware para Mac y otras tendencias de riesgo cibernético. Hay muchos caminos diferentes entretejidos a seguir aquí.
En el nivel básico, las herramientas de detección y respuesta de endpoints (EDR) son esenciales para mantener el conocimiento situacional de la postura de seguridad de todos los endpoints. estos Protección de terminales Las herramientas detectan amenazas potenciales en tiempo real y brindan respuestas automatizadas a los riesgos identificados, lo que permite un monitoreo continuo y una acción inmediata contra posibles violaciones de seguridad. Las organizaciones deben asegurarse de que todos los dispositivos estén igualmente cubiertos por su EDR, que cubre Windows, Mac y cualquier otro sistema operativo presente en el entorno corporativo.
Las empresas también deben centrarse en los aspectos básicos de la higiene de la seguridad. Esto incluye comprometerse con actualizaciones de software de rutina para corregir vulnerabilidades y capacitar a los empleados sobre las mejores prácticas, como el uso de contraseñas y configuraciones como Cifrado. Las empresas pueden considerar respaldar esto implementando herramientas avanzadas de administración de dispositivos para monitorear y administrar las configuraciones de los dispositivos para garantizar que estén en línea con la política de la empresa.
El cifrado de datos también juega un papel fundamental en la protección de la información. Este suele ser un punto débil y descubrimos que el 36% de los dispositivos deshabilitaron la importante función de cifrado FileVault. Al cifrar los datos tanto en tránsito como en reposo, las organizaciones garantizan que, incluso si los datos son interceptados, seguirán siendo indescifrables para partes no autorizadas.
Por último, las empresas deberían esforzarse por adoptar el modelo Zero Trust. Este marco de seguridad funciona según el principio de que no se confía automáticamente en ninguna entidad dentro o fuera de la red. Cada intento de acceso debe verificarse minuciosamente, lo que reduce significativamente la posibilidad de infracciones y accesos no autorizados. Esto puede proporcionar una defensa eficaz contra cualquier forma de piratería que busque moverse a través de la red.
Miro hacia adelante
A medida que las Mac se vuelven cada vez más comunes en el lugar de trabajo, garantizar planes de seguridad integrales es más importante que nunca. Cualquier organización que todavía dependa de un sistema de seguridad Mac más ligero y orientado a molestias como el adware se llevará una desagradable sorpresa cuando se enfrente a amenazas nuevas y más graves. Las empresas deben asegurarse de que no sólo tengan una estrategia de múltiples capas, sino que se aplique por igual a todos los dispositivos conectados al entorno de la empresa.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
Kaspersky ha revelado una nueva versión para Linux malware Un escáner que puede proteger contra amenazas conocidas y mantener limpio su sistema.
KVRT es completamente gratuito y funciona utilizando una base de datos de amenazas conocidas para buscar y aislar de forma segura todo tipo de malware que pueda estar abusando de aplicaciones legítimas o secuestrando sus datos.
La aplicación tiene algunas características únicas, como requerir una conexión a Internet para funcionar, admitir solo sistemas de 64 bits y requerir que los usuarios descarguen la base de datos de malware con frecuencia para protegerse contra las últimas amenazas.
Kaspersky KVRT
El software está diseñado para ejecutarse en una amplia gama de distribuciones de Linux, incluidas CentOS, Linux Mint, Red Hat Enterprise Linux, Ubuntu, Debian, openSUSE y SUSE, entre muchas otras. Y no se preocupe si el Linux de su elección no está en la lista de distribuciones compatibles, el software probablemente funcionará de todos modos según Kaspersky.
Cuando el programa encuentra un archivo malicioso, ofrecerá limpiarlo y poner en cuarentena una copia inofensiva en un directorio ubicado en '/var/opt/KVRT2024_Data/Quarantine'.
“Nuestra aplicación puede escanear la memoria del sistema, los objetos de inicio, los sectores de inicio y todos los archivos en un archivo. SO Para malware conocido. “Escanea archivos de todos los formatos, incluidos los archivos archivados”, dijo Kaspersky en su informe. Entrada en el blog Anuncio del lanzamiento de KVRT.
Se recomienda ejecutar el programa usando una cuenta raíz para asegurarse de que pueda acceder a todos los rincones que el archivo malicioso puede ocultar, incluida la memoria del sistema y los sectores de arranque. Desafortunadamente, no hay forma de realizar un escaneo KVRT al inicio, ya que el programa debe ejecutarse manualmente cada vez. Tampoco puede monitorear el ataque en tiempo real, así que asegúrese de escanear periódicamente para mantenerse protegido.
Suscríbase al boletín informativo TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
Para aquellos que no usan Linux, puede que valga la pena echarle un vistazo a algunos El mejor software antivirus.
a un informe La empresa de ciberseguridad Zscaler ha descubierto más de 90 aplicaciones maliciosas de Android cargadas en Google Play durante los últimos meses, incluido un troyano particularmente sofisticado llamado Anatsa.
En conjunto, las aplicaciones de malware se han instalado más de 5,5 millones de veces.
Cómo el malware Anatsa intenta estafar a los usuarios de Android
A partir del jueves, Google prohibió las aplicaciones identificadas en el informe, según engadget. pitidocomputadora. Anats, también conocido como “TeaBot”, y otro malware mencionado en el informe, son aplicaciones de cuentagotas que se hacen pasar por lectores de PDF y QR, fotografía y aplicaciones de salud y fitness. Como informó el medio, los hallazgos demuestran “el riesgo significativo de que las aplicaciones Dropper maliciosas pasen desapercibidas en el proceso de revisión de Google”.
Velocidad de la luz triturable
Aunque Anatsa representa sólo alrededor del 2% del malware más común, causa mucho daño. Se sabe que está dirigido a más de 650 instituciones financieras, y sus dos lectores de códigos PDF y QR han acumulado más de 70.000 descargas al momento de su publicación.
Una vez instalada como una aplicación aparentemente legítima, Anatsa utiliza técnicas avanzadas para evitar la detección y acceder a información bancaria. Las dos aplicaciones mencionadas en el informe se denominan “PDF Reader and File Manager” de Tsarka Watchfaces y “QR Reader and File Manager” de risovanul. Por lo tanto, definitivamente tienen un aspecto inofensivo para los usuarios desprevenidos de Android.
La mayoría de las aplicaciones que contienen malware se clasifican en herramientas como administradores de archivos, editores y traductores. Otras categorías de aplicaciones incluyen fotografía, productividad y “personalización”, que no es específica, pero puede incluir aplicaciones para personalizar las pantallas de inicio y los fondos de pantalla de Android.
Es posible que estas aplicaciones infectadas con malware se hayan eliminado, pero este es un recordatorio incómodo para estar atento a las aplicaciones que instala.
Investigadores de ciberseguridad de Intego han descubierto una nueva especie de temible cuco malware Que se dirige a los usuarios de macOS.
Para aquellos que no saben el nombre, Cuckoo es una herramienta de robo de información dirigida a los Mac en los que se ejecuta. Corporación Intel Y brazo Silicona.
Los investigadores de Intego ahora Él dice Han encontrado una nueva variante que pretende ser Homebrew, el popular administrador de paquetes de software de macOS. Los atacantes crearon una página de destino falsa, que parece idéntica a la página original de Homebrew, que implementó la herramienta de robo de información.
Envenenamiento de los anuncios de Google
A principios de mayo de 2024, el proveedor de seguridad de Mac, Kandji, dijo que el malware “consulta archivos específicos asociados con aplicaciones específicas, en un intento de recopilar la mayor cantidad de información posible del sistema”. Aparentemente, Cuckoo estaba buscando información de hardware, procesos actualmente en ejecución y aplicaciones instaladas.
Entre sus principales características está la posibilidad de realizar capturas de pantalla y recopilar datos de las mismas. Nube llaveros, manzana notas, Navegadores de InternetVarias aplicaciones (Discord, Telegram, Steam y más) y la incautación de datos de billeteras de criptomonedas.
La amenaza se distribuyó a través de un software falso, un programa que afirma poder extraer música de servicios de streaming en archivos MP3.
Si bien crear un sitio web falso es fácil, lograr que la gente lo visite es mucho más difícil. Intego cree que para que la gente visite el sitio web, los atacantes están involucrados Google Envenenamiento de anuncios, obtener acceso a cuentas de Google Ads con campañas escaneadas y en ejecución, y modificarlas (o ejecutar nuevas campañas) para generar tráfico.
Suscríbase al boletín informativo TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
“Recomendamos que los consumidores abandonen el hábito de 'simplemente buscar en Google' para encontrar sitios legítimos”, dijeron los investigadores. “Estos hábitos a menudo implican hacer clic en el primer enlace sin pensarlo mucho, asumiendo que Google no los engañará y les dará el resultado correcto en la parte superior. Los creadores de malware lo saben, por supuesto, y es por eso que le pagan a Google. primer lugar.”
En lugar de buscar sitios web populares en Google, se recomienda a los usuarios que escriban ellos mismos la dirección o agreguen los sitios a favoritos.
Miles de servidores Linux todavía están infectados con Ebury, un malware que roba información desde hace décadas y que se creía extinto.
Ebury es un sofisticado malware diseñado para comprometer los sistemas basados en Linux, especialmente los servidores. Es un tipo de malware que opera como puerta trasera y roba credenciales, lo que permite a los atacantes obtener acceso no autorizado a los sistemas comprometidos.
Los desarrolladores de Ebury están motivados financieramente y recientemente también se han expandido al espacio de las criptomonedas. Ebury también parece utilizarse para redirigir spam y tráfico web.
Dirigirse a proveedores de alojamiento
Cuando los investigadores de ciberseguridad de ESET informaron por primera vez sobre Ebury hace una década, el informe condujo al arresto de los operadores de malware. Sin embargo, eso no impidió que el malware se actualizara y creciera en los años siguientes. En total, desde 2009, alrededor de 400.000 servidores Linux han sido infectados por esta puerta trasera.
A finales del año pasado, se creía que más de 100.000 terminales todavía portaban la infección, según un informe de seguimiento (PDF) publicado por ESET a principios de esta semana.
Los investigadores descubrieron que las principales víctimas de Ebori parecen ser los proveedores de servicios de hosting. “La pandilla aprovecha su acceso a la infraestructura del proveedor de hosting para instalar Ebury en todos los servidores alquilados por ese proveedor”, explicaron. Como parte del experimento, alquilaron un servidor virtual y fueron infectados en una semana.
“Otro método interesante es utilizar un adversario en el medio para interceptar el tráfico SSH de objetivos de interés dentro de los centros de datos y redirigirlo a un servidor utilizado para capturar credenciales”, agregaron.
Suscríbase al boletín informativo TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
El año pasado, los operadores de Ebury atacaron más de 200 servidores. Entre los objetivos se encontraban varios nodos de Bitcoin y Ethereum, y una de las principales características de Ebury era robar automáticamente carteras de criptomonedas alojadas en el servidor objetivo, una vez que la víctima inicia sesión con una contraseña.
Se han detectado varias aplicaciones maliciosas de Android haciéndose pasar por algunas de las herramientas más populares de la plataforma, pero a cualquiera que instale los estafadores se le podrían robar sus credenciales de inicio de sesión u otra información altamente confidencial de su dispositivo.
Un informe de los investigadores de ciberseguridad SonicWall Capture Labs describió el monitoreo de varias aplicaciones que se hacen pasar por esto. GoogleInstagram, Snapchat, WhatsAppTwitter y otros, a menudo usan íconos que parecen casi idénticos a los utilizados en aplicaciones legítimas.
“este malware “Utiliza íconos de aplicaciones populares de Android para engañar a los usuarios y engañar a las víctimas para que instalen la aplicación maliciosa en sus dispositivos”, dijeron los investigadores. No discutieron quiénes son los ciberdelincuentes detrás de la campaña ni cómo distribuyen estas aplicaciones. Puede ser a través de sitios web falsos, plataformas de mensajería instantánea, phishing y mucho más.
Mayor complejidad
Tampoco dijeron quiénes eran los objetivos más populares ni dónde estaban ubicados. Nos comunicamos con SonicWall con preguntas adicionales y actualizaremos el artículo cuando tengamos noticias suyas.
Una vez que el malware está instalado en un dispositivo Android, primero solicitará permisos del Servicio de Accesibilidad y permisos de Administrador del Dispositivo (este último está presente en modelos más antiguos), lo que debería ser una señal de alerta suficiente para cualquiera.
Sin embargo, si la víctima otorga estos permisos, la aplicación puede conectarse al servidor de Comando y Control (C2) para recibir más comandos para ejecutar y acceder a las listas de contactos, mensajes SMS, registros de llamadas y lista de aplicaciones instaladas del dispositivo. . También puede enviar mensajes SMS; Abra páginas de phishing en su navegador web y encienda la linterna de su cámara.
La mejor manera de protegerse contra aplicaciones maliciosas de Android es descargarlas únicamente de fuentes legítimas, verificar siempre las calificaciones y reseñas de los usuarios y considerar los permisos que solicita la aplicación al instalarla.
Suscríbase al boletín informativo TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
Cybersecurity researchers from JFrog recently discovered three malicious campaigns in Docker Hub – Docker’s cloud-based registry service for storing and sharing container images. These campaigns contained millions of repositories that pushed generic trojan malware to the developers.
The conclusion of JFrog’s findings is that with open-source repositories such as Docker Hub, keeping them clean of malware is an immensely difficult task.
As the researchers explained, Docker Hub repositories have two key aspects: the images (an application that can be updated and accessible through a fixed name), and the metadata (short descriptions and documentation in HTML format, which will be displayed on the repository’s main page).
Millions of bad repositories
“Usually, repository documentation aims to explain the purpose of the image and provide guidelines for its usage,” the researchers explained.
However, roughly 4.6 million repositories contained no Docker images, meaning they couldn’t be run using a Kubernetes cluster, or a Docker engine – they were practically useless. They just contained the overview page which tried to trick the developers into visiting phishing websites, or other pages hosting malicious code.
Of the 4.6 million repositories, 2.81 million were linked to three campaigns: “Downloader”, “eBook Phishing”, and “Website SEO”.
In terms of the number of malicious repositories, Downloader was the biggest one, amounting to almost 10% of the entire share (1,453,228 repositories). However, it did not have as many users (9,309) as, for example, Website SEO (194,699). The latter, however, only took up 1.4% of the share, having a “mere” 215,451 repositories.
Sign up to the TechRadar Pro newsletter to get all the top news, opinion, features and guidance your business needs to succeed!
With 7.1% of the share, eBook Phishing was the second, with 1,069,160 repositories. It only had 1,042 users though.
JFrog disclosed its findings to Docker, which prompted the project to remove the malicious repositories – 3.2 million of them.
“Unlike typical attacks targeting developers and organizations directly, the attackers in this case tried to leverage Docker Hub’s platform credibility, making it more difficult to identify the phishing and malware installation attempts,” JFrog said.
“Almost three million malicious repositories, some of them active for over three years highlight the attackers’ continued misuse of the Docker Hub platform and the need for constant moderation on such platforms.”
Millions of devices are still connected to the PlugX malware, despite its creators abandoning it months ago, experts have warned.
Cybersecurity analysts Sekoia managed to obtain the IP address associated with the malware’s command & control (C2) server, and observed connection requests over a six-month period.
During the course of the analysis, infected endpoints attempted 90,000 connection requests every day, amounting to 2.5 million connections in total. The devices were located in 170 countries, it was said. However, just 15 of them made up more than 80% of total infections, with Nigeria, India, China, Iran, Indonesia, the UK, Iraq, and the United States making up the top eight.
Still at risk
While at first it might sound like there are many infected endpoints around the world, the researchers did stress that the numbers might not be entirely precise. The malware’s C2 does not have unique identifiers, which messes with the results, as many compromised workstations can exit through the same IP address.
Furthermore, if any of the devices use a dynamic IP system, a single device can be perceived as multiple ones. Finally, many connections could be coming in through VPN services, making country-related statistics moot.
PlugX was first observed in 2008 in cyber-espionage campaigns mounted by Chinese state-sponsored threat actors, the researchers said. The targets were mostly organizations in government, defense, and technology sectors, located in Asia. The malware was capable of command execution, file download and upload, keylogging, and accessing system information. Over the years, it grew additional features, such as the ability to autonomously spread via USB drives, which makes containment today almost impossible. The list of targets also expanded towards the West.
However, after the source code leaked in 2015, PlugX became more of a “common” malware, with many different groups, both state-sponsored and financially-motivated, using it, which is probably why the original developers abandoned it.
Sign up to the TechRadar Pro newsletter to get all the top news, opinion, features and guidance your business needs to succeed!
