Abrir sesión
logo

DEFENSA FRONTE ÁS CIBERAMEAZAS

barra-separadora
  • El documento ID-013/16 Toopu está disponible en la parte privada de su portal
  • El objetivo de este malware es simular la pulsación de un usuario (clic) sobre una lista de anuncios con el fin de obtener una compensación económica por publicidad en las páginas que muestran dichos mensajes publicitarios.
  • El CERT Gubernamental Nacional publica el informe con sus reglas YARA, SNORT e IOC correspondiente.

El CCN-CERT ha publicado en la parte privada de su portal el Informe de Código Dañino: CCN-CERT ID-13/16 Toopu, un malware que simula los clics sobre una lista de anuncios (ADS), que recibe de su servidor de mando y control (C&C), con el fin de obtener una compensación económica por publicidad. Para ello se sirve de la generación de una red de bots, de un navegador de Internet propio que se ejecuta de forma oculta y de técnicas de esteganografía para evadir los sistemas de detección (en este caso utiliza un archivo de imagen de tipo “PNG” como medio para cargar en memoria una librería de Windows de forma oculta). También tiene la capacidad de rellenar formularios de Internet incrementando el beneficio económico.

El código dañino llega hasta el usuario por medio de descargas de terceros, como pueden ser barras de búsqueda para navegadores, aceleradores de descarga, páginas de descarga masiva de aplicaciones, etc.

El informe ahora publicado por el CCN-CERT incluye además las siguientes secciones:

  • Características
  • Procedimiento de infección
  • Persistencia en el sistema
  • Conexiones de red
  • Detección
  • Desinfección
  • Reglas de detección (Reglas Yara, regla Snort e IOC)


Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.

CCN-CERT (23-08-2016)

Acceso a Informe

 

Volver

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración