- El documento ID-013/16 Toopu está disponible en la parte privada de su portal
- El objetivo de este malware es simular la pulsación de un usuario (clic) sobre una lista de anuncios con el fin de obtener una compensación económica por publicidad en las páginas que muestran dichos mensajes publicitarios.
- El CERT Gubernamental Nacional publica el informe con sus reglas YARA, SNORT e IOC correspondiente.
El CCN-CERT ha publicado en la parte privada de su portal el Informe de Código Dañino: CCN-CERT ID-13/16 Toopu, un malware que simula los clics sobre una lista de anuncios (ADS), que recibe de su servidor de mando y control (C&C), con el fin de obtener una compensación económica por publicidad. Para ello se sirve de la generación de una red de bots, de un navegador de Internet propio que se ejecuta de forma oculta y de técnicas de esteganografía para evadir los sistemas de detección (en este caso utiliza un archivo de imagen de tipo “PNG” como medio para cargar en memoria una librería de Windows de forma oculta). También tiene la capacidad de rellenar formularios de Internet incrementando el beneficio económico.
El código dañino llega hasta el usuario por medio de descargas de terceros, como pueden ser barras de búsqueda para navegadores, aceleradores de descarga, páginas de descarga masiva de aplicaciones, etc.
El informe ahora publicado por el CCN-CERT incluye además las siguientes secciones:
- Características
- Procedimiento de infección
- Persistencia en el sistema
- Conexiones de red
- Detección
- Desinfección
- Reglas de detección (Reglas Yara, regla Snort e IOC)
Pueden acceder a los informes en la sección de Informes de Código Dañino del portal del CCN-CERT.
CCN-CERT (23-08-2016)
