Tag Troyano

Las versiones maliciosas del juego de descarga gratuita Super Mario 3: Mario Forever plantan un minero y un programa de robo en las máquinas de los jugadores.

A menudo hablamos de los peligros que conlleva descargar versiones pirateadas de juegos, ya que pueden incluir malware. Pero no son la única amenaza. También pueden surgir sorpresas desagradables en los juegos gratuitos, y eso sucedió recientemente con Super Mario 3: Mario Forever. Pero primero lo primero…

Malware en el juego gratuito Super Mario 3: Mario Forever

La serie Super Mario (también conocida como Super Mario Bros. o simplemente Mario) es uno de los universos de juegos más queridos. En sus 38 años de existencia se han editado 24 juegos originales solo en la serie principal, sin mencionar docenas de reediciones y remasterizaciones. Además de eso, hay siete series derivadas que añaden decenas de juegos al universo de Mario. Dicho esto, todos tienen una cosa en común: todos estos juegos, salvo la más rara de las excepciones, se lanzaron de manera oficial únicamente en las propias plataformas de Nintendo.

Por lo tanto, ¿qué haces si quieres jugar a Mario en tu ordenador? Tienes que descargar una conversión para el PC o un juego creado por fanáticos. Sin embargo, debes tener en cuenta que ninguna de estas opciones es oficial ni está disponible para su descarga en el sitio web de Nintendo.

Por lo tanto, la búsqueda a menudo puede conducir a algunos lugares oscuros, donde individuos emprendedores pero poco fiables pueden pasarte algo malicioso en lugar de un juego. Algo así acaba de pasar con el juego gratuito Super Mario 3: Mario Forever, creado por fanáticos. Los expertos encontraron versiones del juego que infectaron el ordenador de la víctima con varios tipos de malware a la vez.

¿Qué hay dentro del Mario Forever infectado?

La cadena de ataque es la siguiente: cuando se ejecuta el kit de distribución de Mario Forever, el juego se instala en el ordenador junto con el cliente de minería SupremeBot y un minero malicioso de Monero (XMR). A continuación, el cliente de minería instala otro componente de malware en el ordenador: el programa de robo Umbral.

Umbral se gana la vida robando casi toda la información de valor que pueda encontrar en la máquina de la víctima: credenciales almacenadas en el navegador, claves de monederos de criptomonedas y tokens de sesión, que son pequeños archivos mediante los cuales un sitio o un servicio en línea recuerdan al usuario para que no sea necesario volver a iniciar sesión (algo parecido a las cookies). A Umbral le gusta especialmente ir a la caza de tokens de Discord, Telegram, Roblox y Minecraft. Además, el programa de robo puede obtener imágenes de la cámara web y capturas de pantalla del ordenador infectado. En resumen, un exponente de malware particularmente desagradable con una amplia gama de funcionalidades.

El resultado es una caja de Pandora de problemas para las víctimas del Super Mario 3: Mario Forever infectado. Primero, sus ordenadores se volverán lentos y consumirán más energía de lo habitual debido a la minería en segundo plano. Segundo, se corre un riesgo de secuestro de cuentas debido a que Umbral roba contraseñas. Y tercero, lo peor de todo: si se almacenan claves privadas de monederos de criptomonedas en el ordenador, esta amenaza podría traducirse en una pérdida económica directa.

Malware que ataca a jugadores

En general, este problema está bastante extendido. Los juegos pirateados y gratuitos de fuentes dudosas son un territorio ideal para los mineros maliciosos. Los ordenadores para juegos suelen tener especificaciones de alta gama, especialmente la tarjeta gráfica, que es lo que se necesita para la minería en primer lugar.

Esto significa que son mucho más adecuados para minar criptomonedas a espaldas del usuario que una máquina de oficina tediosamente lenta. Detectar un minero oculto por tu cuenta es un trabajo bastante difícil y que requiere un buen antivirus.

Por cierto, los juegos Roblox y Minecraft mencionados anteriormente, los preferidos de Umbral para robar tokens de sesión de cuenta, tradicionalmente encabezan la clasificación de los juegos más atacados por los ciberdelincuentes, desde autores de phishing hasta propagadores de malware. Hace poco escribimos sobre la forma en que se distribuyó el programa de robo Fractureiser bajo la apariencia de mods de Minecraft.

¡Protégete!

Por último, algunos consejos para que los jugadores no se conviertan en víctimas de los ciberdelincuentes:

• Descarga juegos solo de fuentes oficiales. Esta es la única forma garantizada de no llevarse una sorpresa desagradable.
• Si estás buscando ahorrar dinero en juegos, existen métodos más seguros que descargar copias pirateadas de sitios sospechosos y torrents.
• No te dejes seducir por promesas poco realistas. Un juego muy esperado no se podrá descargar antes de su lanzamiento oficial (al menos no legalmente), mientras que una versión inexistente para tu plataforma particular no se hará realidad solo por desearlo.
• Debes tener cuidado al descargar e instalar mods, y especialmente trucos; por supuesto, es mejor evitar estos últimos por completo.
• Para protegerte contra programas de robo, trata de no guardar las contraseñas en el navegador. Es mejor usar un administrador de contraseñas fiable en su lugar.
• Y asegúrate de haber instalado en tu máquina para juegos una solución fiable con un modo de juego especial que te mantenga protegido durante el juego sin que el sistema se vuelva exasperantemente lento.

Fuente: latam.kaspersky.com/

Se denomina dropper a un tipo de troyano cuya función es descargar en el equipo víctima un malware que lleva embebido y cuyo payload generalmente se almacena cifrado.

Los droppers son un subtipo de malware que tiene la finalidad de “droppear” (del inglés dropper, que significa liberar) otro archivo ejecutable malicioso. Al igual que las amenazas del tipo troyano, categoría en la cual están incluidos los droppers, a simple vista puede verse como inofensivo, hasta que recibe la orden de descargar el malware en cuestión.

Los droppers son desarrollados con el objetivo de instalar otro malware en el equipo comprometido y en general suelen aprovecharse de distintos tipos de vulnerabilidades.

Dentro de las funcionalidades de los droppers, algunos realizan modificaciones dentro de la configuración de la computadora afectada con el fin de preparar el equipo de la víctima para que sea infectado con el payload (en español, carga útil).

Vale aclarar que, como veremos más adelante en este mismo artículo, dropper no es lo mismo que downloader. Si ben son muy parecidos y ambos tienen como finalidad descargar una amenaza en el equipo de la víctima, la principal diferencia está en que el dropper no descarga la amenaza desde Internet como sí lo hace un downloader, sino que la contiene embebida dentro de sí mismo.

Por lo general, los droppers también suelen implementar una serie de comprobaciones de antidebugging y antiemulación en el equipo, las cuales que se ejecutan antes de desempaquetar el payload.

Usualmente, este tipo de malware suele incluirse dentro de archivos comprimidos enviados como adjuntos en correos de phishing. Una vez que la víctima descarga el dropper en su equipo, el mismo se ejecuta y en segundo plano realizará actividades maliciosas, como desactivar servicios para ejecutar el payload. Generalmente, luego de esta acción el dropper se auto elimina para evitar dejar rastros de cómo fue el proceso de infección.

Históricamente, el término dropper se usó para describir un archivo cuyo único propósito era introducir un código malicioso en un equipo y, a veces, los investigadores hacían referencia a esta amenaza como virus de “generación cero” o incluso virus “paciente cero”. Este último término hacía referencia al campo de la medicina, en donde era utilizado por médicos y epidemiólogos cuando hablaban de enfermedades infecciosas.

Es importante tener presente que este tipo de malware surgió recién en los primeros años de la década del 2000 con el auge del Internet. Esto se debe a que en ese entonces muchos cibercriminales encontraron en los droppers una oportunidad para poder descargar módulos adicionales una vez que lograban acceder a la computadora de una víctima.

Si ya teníamos suficiente con servicios del tipo RaaS (Ransomware-as-a-Service) o el Maas (Malware-as-a-Service), durante este último año investigadores  detectaron un aumento en los servicios de DaaS (Dropper-as-a-Services).

A continuación, repasamos las principales características de los droppers, los tipos que existen, fuentes de infección, y algunos consejos para mitigar esta amenaza.

Tipos de Droppers

Dentro de este subtipo de malware se pueden clasificar los droppers según:

La persistencia en el sistema:

• Persistente: son aquellos droppers que realizan modificaciones en el registro del equipo infectado. Los mismos no son detectados por los sistemas y no dejan rastros de las modificaciones que realizan en el registro, permitiendo que el malware se siga descargando en el equipo.
• No persistente: son aquellos droppers que luego de descargar el payload en segundo plano se auto eliminan.

El diseño empleado:

• Single-stage (una sola etapa): es cuando la carga maliciosa dentro del dropper tiene como único fin evadir las soluciones que escanean el equipo en busca de malware.
• Two-stage (dos etapas): es cuando el dropper, además de evadir las soluciones antimalware, incluye la función de downloader; es decir que espera estar activo dentro de la máquina de la víctima para descargar el payload. Es importante tener presente que los dropper de dos etapas pueden tener embebidos uno o más droppers o incluso un downloader.

Interacción con usuario/victima:

• Sin interacción del usuario: son aquellos que ingresan al sistema de la víctima mediante la explotación de alguna vulnerabilidad en el sistema.
• Con interacción del usuario: convencen al usuario de que se trata de un programa legítimo o benigno (troyano), solicitando de esta manera permisos.

Dropper vs Downloader

Como mencionamos anteriormente, otro tipo de software malicioso que suele ser utilizado para descargar malware en un sistema es el downloader. Un downloader, como su nombre lo indica, descarga el payload desde un servidor remoto, en lugar de utilizar el método de dropper para transportar la carga útil en sí (embebido). Sin embargo, en la práctica el término dropper suele utilizarse erróneamente como sinónimo de downloader.

Fuentes de infección que utilizan los droppers

A continuación, describimos las formas más comunes que suelen utilizar los cibercriminales para introducir un dropper en el equipo de la víctima:

• Adjuntos en correos maliciosos en formato ZIP, PDF o archivos del paquete office (Excel o Word )
• Aplicaciones descargadas desde tiendas no oficiales o cracks de software.
• Unidades USB u otro tipo de dispositivo previamente infectado
• Realizar clic en mensajes o notificaciones falsas.
• Sitios web que fueron previamente comprometidos con malware.

Recomendaciones de seguridad

Un dropper se caracteriza, entre tantas cosas, por ocultarse de manera efectiva dentro del dispositivo de la víctima, lo cual puede dificultar su detección. Además, como se mencionó anteriormente, existen droppers que realizan funcionalidades de antidebugging y antiemulación. Teniendo esto en cuenta, algunas recomendaciones generales para prevenir este tipo de malware son:

• Mantener actualizado el sistema operativo o y los programas instalados en el equipo
• No abrir archivos adjuntos que parezcan sospechosos.
• Utilizar una solución anitmalware en el dispositivo y mantenerla actualizada.
• Instalar programas que son descargados únicamente de fuentes confiables.

Fuente: https://www.welivesecurity.com/

Guildma es el troyano bancario avanzado que más está afectando en los últimos meses a bancos de Latinoamérica, con una especial incidencia en Brasil. En el país sudamericano tiene ya un impacto diez veces mayor que cualquier otro troyano analizado en la región por ESET, la mayor empresa de ciberseguridad de la Unión Europea.

El pico de actividad de Guildma se alcanzó en agosto de 2019, con hasta 50.000 ataques diarios distribuidos exclusivamente a través de correos electrónicos con adjuntos maliciosos.

En una de sus versiones más recientes, Guildma emplea una nueva forma de distribuir los servidores de mando y control abusando de perfiles de Facebook y YouTube. Sin embargo, parece que los ciberdelincuentes han dejado de utilizar Facebook casi de forma inmediata para centrarse completamente en YouTube.

 “Guildma hace uso de métodos muy innovadores de ejecución y de técnicas de ataque sofisticadas gestionadas desde su servidor de mando y control, por lo que los delincuentes disponen de una mayor flexibilidad para reaccionar a las medidas de defensa implantadas por los bancos afectados”, advierte Robert Suman, el investigador de ESET que lidera la investigación sobre este malware.

Guildma utiliza un backdoor, o puerta trasera, con diferentes funcionalidades, como la posibilidad de realizar capturas de pantalla, capturar las pulsaciones del teclado, emular el teclado y el ratón, bloquear accesos directos (por ejemplo, deshabilita la función Alt+F4 para complicar el bloqueo de las ventanas falsas que muestra), descargar y ejecutar archivos e incluso reiniciar la máquina.

Además, Guildma está compuesto por, al menos, diez módulos y es capaz de aprovechar herramientas ya existentes en los ordenadores infectados y reutilizar sus propias técnicas. En una de las primeras versiones descubiertas en 2019, por ejemplo, Guildma era capaz de afectar a entidades financieras de fuera de Brasil, aunque ESET no ha encontrado campañas masivas fuera del país en los últimos 14 meses.

Fuente: www.muypymes.com