Tag virus

¿Tu PC ha sido infectada con un malware? Repasamos las principales señales que te ayudarán a reconocer si tu PC ha sido comprometida y compartimos algunos consejos prácticos de cómo solucionarlo.

Los ciberdelincuentes a nivel global ganan miles de millones de dólares cada año. Gran parte de su éxito está relacionado con saber aprovechar los errores que cometemos las personas: hacer clic en enlaces de phishing, olvidarse de actualizar software crítico y no utilizar la autenticación multifactor (MFA). Actualmente los actores maliciosos tienen a disposición muchos recursos, como un suministro interminable de datos de identidad robados para usar, y un sinnúmero de sitios de cibercrimen en los que es posible intercambiar datos robados, herramientas y servicios de cibercrimen.

Cuanto antes te enteres que has sido infectado con un virus o algún otro tipo de malware, mejor. Ya que cuanto más tiempo pase, más daño podrán hacer los delincuentes y las consecuencias pueden resultar más caras. Es por eso que tiene sentido tomar la delantera y realizar algunos unos chequeos. En América Latina, el 24% de las organizaciones que en el último año sufrieron un incidente de seguridad fueron víctimas de una infección con malware. No esperes a que sea demasiado tarde para tomar medidas.

10 señales de que tu PC puede haber sido infectada con malware

Los cibercriminales no suelen hablar en público de sus ataques. Para ellos la clave está en permanecer ocultos. Cuanto más tiempo pase la víctima sin saber que ha sido comprometida, más tiempo tienen los atacantes para monetizar el acceso a la red y a las cuentas en línea.

Por eso, a continuación compartimos una lista con algunas de las señales que podrían indicar que tu computadora ha sido infectada con malware:

• Recibes un mensaje de que has sido infectado con ransomware

Empecemos con lo más obvio. Si enciendes tu PC y en lugar de la pantalla de inicio habitual encuentras un archivo de texto que contiene una nota indicando que debes pagar un rescate para recuperar tus archivos, hay altas probabilidades de que te hayas convertido en una víctima del ransomware. Por lo general, los grupos de ransomware suelen dar un corto plazo a las víctimas para que paguen, además de instrucciones de cómo hacer el pago en criptomonedas. La mala noticia es que, incluso si sigues las instrucciones al pie de la letra y pagas, hay grandes posibilidades de que no recuperes el acceso a esos archivos cifrados.

• La computadora funciona lenta

Cuando un malware – incluyendo troyanos, gusanos y mineros de criptomonedas – se instala en una PC, a menudo ralentizan la máquina. Esto es así sobre todo con algunos tipos de malware, como es el caso de los mineros de criptomonedas o coinminers, que son utilizados para realizar ataques de cryptojacking que utilizan el poder de procesamiento de la computadora para minar criptomonedas. Si bien el funcionamiento lento de una computadora puede ser como consecuencia de factores no maliciosos, como una mala higiene de la PC, es mejor verificar para descartar la posibilidad de una infección.

• La webcam se enciende sola

Algunos spyware instalados por los cibercriminales están diseñados no solo para recolectar datos de tu PC, sino también para activar en secreto la cámara web y el micrófono. Hacerlo podría permitir a los ciberdelincuentes grabar y robar videos tuyos y de tu familia, con el riesgo de que puedan utilizarlos en intentos de extorsión. Mantén un ojo en la luz de la cámara web para comprobar si se activa sola. O, mejor aún, desactívala completamente pegándole una cinta encima.

• Tus contactos reciben mensajes no solicitados desde tus cuentas

Otra señal clara de que tu PC se ha visto comprometida es si tus amigos y contactos empiezan a quejarse de spam proveniente de tus cuentas de correo electrónico o redes sociales. Una táctica clásica de phishing es secuestrar las cuentas de las víctimas y luego utilizarlas para enviar spam o correos de phishing a todos tus contactos. Puedes protegerte del robo de tus cuentas fácilmente asegurándote de que todas tus cuentas estén protegidas con la autenticación en dos pasos, también conocida como doble factor de autenticación o 2FA, por sus siglas en inglés.

• Se despliegan muchos anuncios a través de ventanas emergentes

El adware es un tipo de programa no deseado que utilizan los atacantes para ganar dinero al exponer a las víctimas a un excesivo volumen de anuncios. Así que si en tu computadora se despliegan constantemente ventanas emergentes mostrando anuncios invasivos, esto podría indicar la presencia de adware en tu equipo.

• Aparecen nuevas herramientas en la barra de herramientas del navegador

El malware también puede instalar complementos o extensiones en la barra de herramientas de tu navegador. Si detectas alguno que no reconoces o que no recuerdas haber instalado, podría significar que tu PC ha sido comprometida. Puede ser necesario restaurar tu PC a su configuración de fábrica para eliminarlos si te enfrentas a una infección con malware. Si se trata de una aplicación potencialmente no deseada (PUA, por sus siglas en inglés), puede que no se necesite una medida tan drástica. Eliminar la aplicación y la barra de herramientas podría ser suficiente en este caso.

• Comienzan a aparecer iconos aleatorios

Cuando el malware se instala en una PC que ha sido comprometida, a menudo aparecen nuevos iconos en el escritorio. Estos se pueden detectar fácilmente, siempre y cuando el escritorio en sí esté perfectamente organizado en un pequeño número de archivos, carpetas y programas. Si tu escritorio está repleto de archivos, considera ordenarlo para poder detectar más fácilmente cualquier ícono sospechoso que aparezca en tu PC.

• Las contraseñas/inicios de sesión dejan de funcionar

Si los atacantes han logrado comprometer tu PC, puede que hayan robado las credenciales de acceso a varias de tus cuentas en línea, como tu correo electrónico, y que luego hayan cambiado la contraseña para impedir que puedas acceder. Tener que lidiar con escenario así puede ser una de las partes más estresantes de cualquier ciberataque, ya que deberás reportar el robo de cada una de tus cuentas. Además, si el ataque puede poner en riesgo las cuentas de terceros, como pueden ser clientes, socios o cuentas de empleados, deberás comunicarte con los posibles afectados.

• Datos y credenciales de inicio de sesión están circulando en la dark web

Si alguna vez recibes un aviso de violación de datos de una empresa o servicio con el que tienes algún tipo de relación, siempre tómalo en serio e intenta verificarlo por tu cuenta. Sitios como HaveIBeenPwned proporcionan información de direcciones de correo y contraseñas que han sido filtradas como consecuencia de una brecha o exposición de datos. Existen también herramientas de monitoreo de la dark web que permiten buscar tus datos en foros de cibercrimen para mantenerte información de forma más proactiva. Si actúas rápidamente, cambiando contraseñas y/o llamando al banco para que bloquee tus tarjetas, puedes mitigar el riesgo antes de que los actores malintencionados hayan sido capaces de monetizar un ataque.

• Recibes advertencias de un software de seguridad de que has sido infectado

Las advertencias que nos muestran las herramientas antimalware también deben tomarse en serio, aunque también es importante tener en cuenta que es común que los atacantes desplieguen falsos mensajes alertando a la persona que el equipo ha sido infectado y utilizando el nombre de reconocidos software de seguridad. Por eso es importante comprobar en primer lugar que el mensaje es legítimo y que realmente proviene del software de seguridad informática. De ser así, sigue las instrucciones para tratar de encontrar y eliminar los archivos maliciosos en tu PC. No asumas que la advertencia significa que el software antivirus eliminará automáticamente de la PC esa amenaza específica.

¿Qué pasa después?

Pase lo que pase, no te asustes. Si tu PC ha sido comprometida, ejecuta una herramienta antimalware de un proveedor de buena reputación para tratar de encontrar y eliminar cualquier código malicioso que haya sido instalado. Luego considera realizar lo siguiente:

• Modifica todas las contraseñas de aquellas cuentas a las que has accedido desde esa PC
• Descarga una aplicación de MFA para reducir el riesgo de que un actor malicioso pueda comprometer alguna de tus cuenta
• Invierte en una herramienta de monitoreo de la dark web para verificar qué datos han sido robados y/o expuestos
• Congela la posibilidad de solicitar un crédito para que los ciberdelincuentes no puedan obtener nuevas líneas de crédito a tu nombre
• Monitorea todas tus cuentas para detectar actividades sospechosas, especialmente las cuentas bancarias

Si no está seguro de haber eliminado por completo un código malicioso de tu PC, considera realizar la modificación de tus contraseña desde un dispositivo alternativo. Ponte en contacto con tu proveedor de software de seguridad o banco para obtener más información.

Fuente: www.welivesecurity.com

Se denomina dropper a un tipo de troyano cuya función es descargar en el equipo víctima un malware que lleva embebido y cuyo payload generalmente se almacena cifrado.

Los droppers son un subtipo de malware que tiene la finalidad de “droppear” (del inglés dropper, que significa liberar) otro archivo ejecutable malicioso. Al igual que las amenazas del tipo troyano, categoría en la cual están incluidos los droppers, a simple vista puede verse como inofensivo, hasta que recibe la orden de descargar el malware en cuestión.

Los droppers son desarrollados con el objetivo de instalar otro malware en el equipo comprometido y en general suelen aprovecharse de distintos tipos de vulnerabilidades.

Dentro de las funcionalidades de los droppers, algunos realizan modificaciones dentro de la configuración de la computadora afectada con el fin de preparar el equipo de la víctima para que sea infectado con el payload (en español, carga útil).

Vale aclarar que, como veremos más adelante en este mismo artículo, dropper no es lo mismo que downloader. Si ben son muy parecidos y ambos tienen como finalidad descargar una amenaza en el equipo de la víctima, la principal diferencia está en que el dropper no descarga la amenaza desde Internet como sí lo hace un downloader, sino que la contiene embebida dentro de sí mismo.

Por lo general, los droppers también suelen implementar una serie de comprobaciones de antidebugging y antiemulación en el equipo, las cuales que se ejecutan antes de desempaquetar el payload.

Usualmente, este tipo de malware suele incluirse dentro de archivos comprimidos enviados como adjuntos en correos de phishing. Una vez que la víctima descarga el dropper en su equipo, el mismo se ejecuta y en segundo plano realizará actividades maliciosas, como desactivar servicios para ejecutar el payload. Generalmente, luego de esta acción el dropper se auto elimina para evitar dejar rastros de cómo fue el proceso de infección.

Históricamente, el término dropper se usó para describir un archivo cuyo único propósito era introducir un código malicioso en un equipo y, a veces, los investigadores hacían referencia a esta amenaza como virus de “generación cero” o incluso virus “paciente cero”. Este último término hacía referencia al campo de la medicina, en donde era utilizado por médicos y epidemiólogos cuando hablaban de enfermedades infecciosas.

Es importante tener presente que este tipo de malware surgió recién en los primeros años de la década del 2000 con el auge del Internet. Esto se debe a que en ese entonces muchos cibercriminales encontraron en los droppers una oportunidad para poder descargar módulos adicionales una vez que lograban acceder a la computadora de una víctima.

Si ya teníamos suficiente con servicios del tipo RaaS (Ransomware-as-a-Service) o el Maas (Malware-as-a-Service), durante este último año investigadores  detectaron un aumento en los servicios de DaaS (Dropper-as-a-Services).

A continuación, repasamos las principales características de los droppers, los tipos que existen, fuentes de infección, y algunos consejos para mitigar esta amenaza.

Tipos de Droppers

Dentro de este subtipo de malware se pueden clasificar los droppers según:

La persistencia en el sistema:

• Persistente: son aquellos droppers que realizan modificaciones en el registro del equipo infectado. Los mismos no son detectados por los sistemas y no dejan rastros de las modificaciones que realizan en el registro, permitiendo que el malware se siga descargando en el equipo.
• No persistente: son aquellos droppers que luego de descargar el payload en segundo plano se auto eliminan.

El diseño empleado:

• Single-stage (una sola etapa): es cuando la carga maliciosa dentro del dropper tiene como único fin evadir las soluciones que escanean el equipo en busca de malware.
• Two-stage (dos etapas): es cuando el dropper, además de evadir las soluciones antimalware, incluye la función de downloader; es decir que espera estar activo dentro de la máquina de la víctima para descargar el payload. Es importante tener presente que los dropper de dos etapas pueden tener embebidos uno o más droppers o incluso un downloader.

Interacción con usuario/victima:

• Sin interacción del usuario: son aquellos que ingresan al sistema de la víctima mediante la explotación de alguna vulnerabilidad en el sistema.
• Con interacción del usuario: convencen al usuario de que se trata de un programa legítimo o benigno (troyano), solicitando de esta manera permisos.

Dropper vs Downloader

Como mencionamos anteriormente, otro tipo de software malicioso que suele ser utilizado para descargar malware en un sistema es el downloader. Un downloader, como su nombre lo indica, descarga el payload desde un servidor remoto, en lugar de utilizar el método de dropper para transportar la carga útil en sí (embebido). Sin embargo, en la práctica el término dropper suele utilizarse erróneamente como sinónimo de downloader.

Fuentes de infección que utilizan los droppers

A continuación, describimos las formas más comunes que suelen utilizar los cibercriminales para introducir un dropper en el equipo de la víctima:

• Adjuntos en correos maliciosos en formato ZIP, PDF o archivos del paquete office (Excel o Word )
• Aplicaciones descargadas desde tiendas no oficiales o cracks de software.
• Unidades USB u otro tipo de dispositivo previamente infectado
• Realizar clic en mensajes o notificaciones falsas.
• Sitios web que fueron previamente comprometidos con malware.

Recomendaciones de seguridad

Un dropper se caracteriza, entre tantas cosas, por ocultarse de manera efectiva dentro del dispositivo de la víctima, lo cual puede dificultar su detección. Además, como se mencionó anteriormente, existen droppers que realizan funcionalidades de antidebugging y antiemulación. Teniendo esto en cuenta, algunas recomendaciones generales para prevenir este tipo de malware son:

• Mantener actualizado el sistema operativo o y los programas instalados en el equipo
• No abrir archivos adjuntos que parezcan sospechosos.
• Utilizar una solución anitmalware en el dispositivo y mantenerla actualizada.
• Instalar programas que son descargados únicamente de fuentes confiables.

Fuente: https://www.welivesecurity.com/

Luego de la caída de Emotet a principios de 2021, el 14 de noviembre la botnet volvió a la actividad en campañas de malspam que contienen distintos tipos de adjuntos maliciosos.

En enero de 2021 una operación liderada por Europol Interpol desmantelaba la botnet Emotet, uno de los malware más prevalentes de los últimos años que venía operando desde 2014 y que se estima provocó daños económicos por aproximadamente 2.500 millones de dólares. En total unos 700 servidores de comando y control (C&C) utilizados por los atacantes para comprometer equipos y lanzar nuevas campañas maliciosas fueron desconectados como parte de la operación y rápidamente se observó una caída abrupta en su actividad. Sin embargo, pese a los esfuerzos, el pasado 14 de noviembre se detectó una nueva campaña de malspam que distribuía el troyano Trickbot que luego descargaban en una segunda instancia una DLL maliciosa correspondiente a Emotet.

En el siguiente tweet publicado por SANS se muestra la cadena de infección de la nueva versión de la botnet Emotet.

Estas nuevas campañas de malspam contienen archivos adjuntos que pueden presentarse en tres distintos formatos:

• Archivos de Microsoft Excel (.xlsm)
• Archivos de Word (.docm)
• Archivos comprimidos en formato ZIP que vienen protegidos con contraseña e incluyen un archivo Word

Por otra parte, si bien se ha observado la distribución a través de Trickbot, algunos investigadores ya confirman que también comenzaron a circular campañas a través del correo que descargan Emotet directamente, con lo cual podría ser una señal de que su infraestructura está creciendo.

Según explicó el investigador Cryptolaemus que desde hace tiempo sigue la actividad de Emotet, la nueva versión analizada presenta algunas modificaciones con respecto a las anteriores. Una de ellas es que ahora cuenta con siete comandos que amplía las posibilidades de descarga de binarios.

Por su parte, desde la organización Abuse.ch compartieron una lista de servidores de C&C para que puedan ser bloqueados para mayor protección.

Vale la pena recordar que en el pasado Emotet era utilizado como infraestructura de malware como servicio (MaaS, por sus siglas en inglés) para distribuir otras amenazas. Si bien en este resurgir Trickbot está distribuyendo Emotet, antes de la interrupción de su infraestructura Emotet distribuía Trickbot, el cual a su vez era utilizado para descargar algunos ransomware como Ryuk o Conti.

Fuente: https://www.welivesecurity.com/

Repasamos algunos casos que se han conocido en el último tiempo de cracks de distinto tipo de software que han estado siendo utilizados para distribuir malware.

Ya hemos mencionado hace algunos años qué son los cracks y los riesgos que conllevan para la seguridad. A modo de repaso, se le llama crack informático a un parche que se aplica a un programa, alterando su estructura o las funcionalidades implementadas por sus desarrolladores, sin la necesaria autorización de estos. Usualmente, el objetivo de estas modificaciones es evadir un control o acción requerida por los desarrolladores para poder acceder a más funcionalidades o seguir utilizando este producto, como la necesidad de activar una licencia de pago.

Por su naturaleza, el crack es tan antiguo como los programas de pago: si bien la fecha de origen de este método es desconocido, las primeras protecciones implementadas para evitar el cracking de programas datan de la década de los 80, en dispositivos como la Commodore 64. Desde ese entonces, es posible encontrar cracks implementados de diferentes maneras para todo tipo de programas o aplicaciones: juegos, herramientas de diseño, software antivirus, entre muchas otras categorías de interés.

Vale la pena recordar que la distribución de programas crackeados, actividad que se conoce como piratería, es ilegal en casi todo el mundo ya que se violan los derechos de autor.

Existen distintas motivaciones detrás del cracking de una pieza de software particular, como son la económica y la ideológica. Sin embargo, permitir que un archivo desconocido adultere un programa o aplicación puede traer consecuencias no solo negativas, sino contraproducentes o peligrosas para nuestros dispositivos.

Históricamente, la descarga de programas o contenido adicional distribuidos por sitios con arquitectura P2P o streaming (por ejemplo, aquellos denominados Torrents) en un contexto de piratería fue y sigue siendo una de las principales vías de infección en campañas masivas en contraposición a las campañas dirigidas. Igualmente, esto no quiere decir que no pueda ocurrir.

Para tomar dimensión del alcance y el impacto de los cracks en la distribución de códigos maliciosos vale la pena recordar lo que ocurrió hace pocos meses atrás cuando un estudiante provocó un ataque del ransomware Ryuk a un instituto de investigación biomolecular en Europa por la instalación de un crack. El estudiante, que tenía acceso remoto a la red del instituto para trabajar, había descargado un crack de un software pago que resultó ser un troyano que, entre otras cosas, robaba contraseñas. Al parecer, los operadores detrás del troyano recolectaron las claves, las comercializaron en el mercado negro y terminaron en manos de cibercriminales que llevaron adelante el ataque de Ryuk.

A continuación, repasamos algunos casos de amenazas distribuidas a través de cracks en los últimos dos años (algunas de ellas activas) para ver con ejemplos reales el potencial daño que puede causar la instalación de cracks en nuestros equipos.

LoudMiner: un minero que sigue activo

A mediados de 2019 investigadores de ESET revelaban detalles de una campaña distribuida a través de cracks que incluían un software malicioso denominado LoudMiner. En este caso, los atacantes utilizan para distribuir el malware cracks de diversos plugins VST, que son programas para interpretar instrumentos musicales y efectos de audio de manera digital, como Kontakt, Massive, así como software para trabajar con audio, como Ableton Live, entre muchos otros más.

Distribuidos desde 2018 a través de al menos un sitio malicioso que alojaba más de 120 plugins, estos cracks de instrumentos VST y programas de audio no estaban alojados en el sitio original, sino en una totalidad de 29 servidores externos, presuntamente para evadir cualquier tipo de sospecha.

Este malware es un minero de criptomonedas, es decir, un código malicioso que utiliza los recursos físicos del equipo víctima para minar criptomonedas sin consentimiento del usuario infectado. Aquí es donde podemos ver que la elección de la “pantalla” que disfraza a la amenaza no es casual, ya qye el uso de VST generalmente demanda un nivel de procesamiento alto y, por lo tanto, el consumo de recursos del CPU es intenso y constante, similar a como puede ser el consumo de un minero de criptomonedas. Por esta razón, teniendo en cuenta que ambos escenarios consumen muchos recursos del procesador y esto provoca un rendimiento más lento del equipo, puede que la actividad del minero no llame especialmente la atención de la víctima. Algo similar ocurre con archivos de gran tamaño, los cuales son creados tanto por la amenaza como el programa real.

En este caso, el falso crack se descarga como una carpeta, conteniendo un programa de virtualización, un archivo de imagen del sistema operativo Linux y archivos adicionales que aseguran la persistencia de la amenaza. Una vez seguidas las instrucciones que el cibercriminal adjunta, se instala en el equipo tanto LoudMiner como el plugin real, y la amenaza genera persistencia modificando características propias del sistema operativo.

El minado comienza una vez finalizada la instalación, luego de que la amenaza ejecute la máquina virtual con Linux que viene adjunta en la carpeta descargada. Para ello, además, LoudMiner se comunica mediante varios scripts con su servidor de Comando & Control para cargar archivos de configuración o actualizarse de ser necesario.

Este malware contaba con al menos tres versiones para macOS y una para Windows, con funcionalidades similares en ambos sistemas.

Como vemos en el reciente hilo de Reddit que hace referencia a la descarga del popular VST Auto Tune, Loudminer sigue siendo distribuido en 2021 a través de cracks de software VST.

Ransomware Exorcist 2.0

Según reveló el investigador Nao_Sec vía Twitter, una amenaza de tipo ransomware llamada Exorcist 2.0 ha estado distribuyéndose durante 2020 detrás de un falso crack o activador gratuito de Windows 10 y Office 365. Al momento del hallazgo el crack se ofrecía en un sitio web que a su vez era anunciado en otros sitios de publicidad fraudulenta.

La descarga consiste en una imagen (ISO), un archivo .zip protegido con contraseña, y un archivo .txt que contiene el código de desbloqueo del archivo comprimido, que es donde supuestamente se aloja el crack. Esta protección es utilizada por los cibercriminales para evadir el bloqueo al momento de la descarga de cualquier solución de seguridad instalada en el dispositivo.

Siguiendo las instrucciones del atacante, la víctima ejecuta el supuesto instalador dentro de la carpeta protegida. Este desata a la amenaza, que realiza al pie de la letra los pasos de un ransomware clásico: cifra todo archivo que encuentre en el equipo infectado, le informa a la víctima del ataque y adjunta una nota donde se indican los pasos a seguir para realizar el pago.

Los cibercriminales proporcionan a la víctima un enlace a un sitio en la red TOR donde se le indica a la víctima el monto a pagar en Bitcoin y las instrucciones para realizarlo. Además, se ofrece la posibilidad de descifrar un archivo de prueba. Los pagos varían, según la cantidad de archivos infectados, entre los 250 y 10.000 dólares.

Crackonosh

Entre los casos que se conocieron en 2021 encontramos al denominado Crackonosh, un malware para minería de criptomonedas activo desde 2018 y que mina Monero. Este minero ha sido distribuido en grandes cantidades como supuestas copias de juegos crackeados en su versión gratuita: GTA V, NBA 2k19, The Sims, entre otros.

Esta descarga contiene un archivo ejecutable, responsable de ejecutar la amenaza y simular la instalación del juego. En este caso, el malware realiza modificaciones en los registros del sistema para asegurar persistencia, y obligar al equipo a iniciar en modo seguro en el próximo reinicio. Este paso no es casualidad: el modo seguro de Windows deshabilita, especialmente, cualquier solución antimalware o antivirus instalada en el dispositivo. Además de esto, busca y elimina cualquier programa o aplicación que tenga como desarrollador a compañías especializadas en productos de seguridad de la información. Finalmente, comienza el minado de Monero en el equipo utilizando XMRig, un conocido minero que es muy utilizado por los cibercriminales.

Crackonosh sigue en circulación en 2021, con una última versión conocida que data de finales del 2020. Se estima que lleva infectados a más de 200 mil usuarios a lo largo del mundo y que desde mediados de 2018 hasta ahora ha permitido a los operadores obtener cerca de 2 millones de dólares en monero.

Troyano sin nombre

En junio de este año investigadores descubrieron un troyano sin nombre que se distribuye a través cracks de software como Adobe Photoshop y videojuegos, que logró infectar a más de 3.2 millones de computadoras entre 2018 y 2020. El malware sin nombre logró robar más de 26 millones de credenciales de inicio de sesión y más de un millón de direcciones de correo únicas, entre otro tipo de información. El hallazgo fue producto de un error de los operadores detrás de este malware, que revelaron detalles sobre la ubicación de una base de datos que contenía 1.2 TB de información robada.

Este troyano personalizado tiene la capacidad de tomar fotografías del usuario si el dispositivo cuenta con una webcam.

Según NordVPN, que fueron los responsables del hallazgo, este tipo de troyano son adquiridos en foros y chats de la dark web por no más de 100 dólares.

Conclusión

Como podemos ver, los cracks realmente suponen un riesgo para la seguridad y, como hemos visto, siguen siendo utilizados por cibercriminales para distribuir malware. Por lo tanto, descargar e instalar cracks de videojuegos u otro tipo de software conlleva ciertos riesgos para la seguridad que deben ser considerados por los usuarios.

Fuente: https://www.welivesecurity.com/

El CERT de Japón publicó EmoCheck, una herramienta dirigida a usuarios de Windows que permite corroborar si tu equipo está infectado con el troyano Emotet.

El Equipo de Respuesta ante Emergencias Informáticas (CERT) de Japón publicó EmoCheck, una herramienta para usuarios de Windows que permite identificar si el equipo fue infectado con el troyano Emotet.

El lanzamiento de la herramienta surge pocas semanas después de que distintas entidades reportaran un reciente incremento en la actividad de Emotet y de conocerse una campaña de spam dirigida a usuarios de Japón distribuyendo este popular troyano en la que, según explica BleepingComputer, utilizaban técnicas de ingeniería social para asustar a las potenciales víctimas y que descarguen un adjunto malicioso que simulaba ser una notificación oficial relacionado al coronavirus. Supuestamente, en el documento adjunto se daban detalles sobre medidas preventivas para evitar la infección de este virus que está causando tanto pánico a nivel global.

Sobre Emotet

Emotet es un conocido troyano bancario de arquitectura modular, conocido por sus técnicas de persistencia y de autopropagación que generalmente es utilizado como un downloader o dropper de otro malware. Fue descubierto por primera vez en 2014 y desde entonces ha evolucionado hasta convertirse en un malware utilizado para desplegar diferentes payloads.

En América Latina la presencia de Emotet data de al menos 2015. Entre 2018 y 2019 su presencia en la región ha sido importante, centrándose principalmente en países como México, Argentina, Ecuador y Colombia, aunque también se ha detectado su presencia en varios otros países. Según datos de ESET, en los meses de noviembre y diciembre de 2019 se detectaron cada uno de los meses más de 27.000 muestras de diferentes variantes de Emotet, lo que demuestra la magnitud de esta amenaza.

Sus campañas suelen utilizar el correo electrónico como vector de ataque e incluir adjuntos maliciosos suplantando la identidad de una marca conocida (o incluso fechas como BlackFriday) para hacer caer a la víctima en el engaño.

EmoCheck, una herramienta del CERT de Japón

Aquellos usuarios de Windows interesados en probar la herramienta para verificar si han sido infectados con Emotet pueden descargar EmoCheck desde el repositorio de GitHub del CERT de Japón.

Una vez descargada y ejecutada la herramienta, la misma escaneará el equipo en busca del troyano y, en caso de encontrarlo en el equipo, informará al usuario el ID del proceso bajo el que está corriendo y la ubicación del archivo malicioso. En caso de estar infectado el usuario deberá inmediatamente abrir el administrador de tareas terminar el proceso.

Es importante mencionar que esto no suple la importancia y necesidad de contar con una solución de seguridad confiable en el equipo. En primer lugar, porque en caso de tener una solución instalada es probable que la amenaza sea detectada antes de infectar el equipo, pero también porque dado que este troyano es utilizado para distribuir otras amenazas que la herramienta EmoCheck no identificará, en caso de haber detectado la presencia de Emotet será importante correr la solución de seguridad en busca de otras amenazas en el equipo.

Fuente: www.welivesecurity.com

Una de las preocupaciones principales a la hora de pasar tu memoria USB por todas las computadoras a las que tienes acceso (en tu trabajo, escuela, casa, etc.) es que si una computadora tiene virus, inmediatamente se va a tu memoria y de la memoria a todas las demás computadoras. Es casi seguro que si una computadora en un área laboral tiene virus, todas las demás también lo tienen o lo tendrán pronto. Pues aquí les va un truco para evitar que se contagien todas las computadoras, les recomiendo que lo hagan, ya que no cuesta nada y no es problemático.

Primero que nada, para resolver un problema hay que saber cómo funciona dicho problema. Cuando nosotros metemos una memoria a una computadora infectada (siempre y cuando el virus sea del tipo que se pasan por USB; no todos los virus hacen eso), el virus existente se copia a sí mismo a la memoria y crea un archivo llamado autorun.inf, que es el archivo donde se escriben las instrucciones para el virus, es decir, en ese archivo están los datos para que el virus se cree, se copie, se pase a otras memorias, etc. Todo eso sin requerir que el usuario haga nada.

Cabe mencionar que el virus y dicho archivo están ocultos en las carpetas (en Windows claro, en cualquier otro sistema operativo no pasa eso), por lo que manualmente no se van a poder borrar. Bueno, el punto aquí es que sin ese archivo el virus no puede ejecutarse, entonces, si logramos evitar que ese archivo se cree, evitamos que el virus se ejecute, y por lo tanto, que haga daño.

Para evitar que el archivo se cree debemos “ganarle” al virus, es decir, crear un autorun.inf antes de que el virus lo cree. Para esto, primero debemos de limpiar de virus nuestra memoria, la manera más fácil es guardando nuestros datos y formateándola. Una vez limpia, creamos una carpeta con el nombre autorun.inf (por eso es necesario limpiarla primero, porque si la queremos crear y no está limpia, el sistema nos va a decir que ya hay un archivo con ese nombre, es decir, el archivo que creó el virus). Es necesario que sea carpeta y no archivo, porque cuando el virus quiera crear un archivo con ese mismo nombre, al ser carpeta no podrá sobreescribirlo, lo que sería contrario si fuera un archivo cualquiera.

Una vez creada la carpeta autorun.inf el virus no podrá crear el archivo que contenga las instrucciones para su ejecución, por lo tanto, no hará daño.

Piensa la carpeta que creas como un condón: el virus va a estar en la memoria (si metes la memoria a una computadora infectada la computadora copiará el virus, para evitarlo hay que limpiar la computadora), pero no vas a poder ejecutar el virus ni copiarlo a las computadoras a las que conectes la memoria, simplemente el virus no va a saber cómo porque no tiene las instrucciones (recuerda que los virus no están vivos, no es una criatura que quiere destruir tu computadora como pasan en las caricaturas o en las películas).

Y es así como podemos proteger nuestras memorias y dispositivos portátiles (porque este sistema funciona con memorias SD, MMC, memory sticks, discos extraibles y todos los dispositivos que funcionan por usb).

Recuerda, lo importante es traer una carpeta autorun.inf en todos tus dispositivos, que si bien esto no evita que te pasen el virus a la memoria, sí evitará que tú lo andes pasando y ejecutando en todas las computadoras a las que insertes el dispositivo.

Fuente: DesdeLinux