Tag malware

Crece la cantidad de usuarios en Argentina infectados con malware que roba información

by morfil Noticias

En febrero solamente, más de 3400 usuarios en Argentina se infectaron con malware que roba información y más de 142 mil usuarios a nivel global.

En febrero aumentó la cantidad de víctimas de malware del tipo infostealer que tiene como objetivo robar información del equipo infectado y enviarlo a los cibercriminales. Este tipo de código maliciosos, conocido en inglés como Infostealer malware, suele ser distribuido en mercados clandestinos de la dark web por poco dinero para que otros actores maliciosos lo utilicen en sus campañas. Solo en Argentina se detectaron 3471 nuevos usuarios infectados con este tipo de malware en febrero de 2022, lo que representa un aumento de más de 2.000 usuarios con respecto a enero. En Brasil fueron 13.598 el número de usuarios afectados en febrero, lo que significa 2.560 víctimas más que el mes anterior.

La cifra a nivel global también aumentó, ya que en febrero se registró un aumento de más de 39 mil infecciones en comparación con los más de 104 mil usuarios infectados en enero. Según datos de la telemetría de ESET tan solo para una de las tantas variantes de RedLine en actividad que existe, en lo que va de 2022 se observa un aumento constante en la cantidad de detecciones y el pico máximo se está registrando en marzo.

Lectura relacionada: Más de 1.7 millones de credenciales de acceso a servicios públicos robadas con malware
Los datos fueron publicados por DarkTracer, un servicio de Inteligencia de amenazas que monitorea la actividad de la dark web que compartió la información a través de su cuenta de Twitter. Además, aseguran que más de 12.7 millones de credenciales de usuarios están siendo distribuidas en foros de la dark web.

Son varios los Infostealers en actividad. Entre los más populares está RedLine Stealer y Raccon Stealer, pero existen otros, como Vidar, Taurus o AZORult, por nombrar algunos más. En el caso de RedLine, según revelaron algunas fuentes en 2021, este malware en particular ha sido la principal fuente de credenciales robadas en los mercados clandestinos.

Como suele distribuirse este tipo de malware
La forma de distribución de estos códigos maliciosos es muy amplia. El año pasado este malware en particular ha estado siendo distribuido en campañas a través YouTube. Los cibercriminales colocaban enlaces maliciosos en la descripción de videos sobre cracks de software, cheats para videojuegos o criptomonedas, entre otras temáticas. Hace unos días investigadores detectaron una nueva campaña dirigida a gamers que distribuía RedLine a través de videos de YouTube relacionados al juego Valorant. Los actores de amenazas promovían un cheat para el juego a través de un enlace en la descripción que conducía a la descarga del infostealer.

Otra forma de distribuir este tipo de malware han sido los cracks de software. Este año se detectó una campaña distribuyendo RedLine que se hacía pasar por un falso instalador de Windows 11. Los cibercriminales crearon un sitio de apariencia similar al sitio oficial de Microsoft para engañar a los usuarios y que descarguen el falso instaldor. Algo similar reveló un usuario en Reddit que hizo una búsqueda en Google para descargar el editor de código Sublime Text y llegó a un sitio falso que alojaba Redline.

Además del robo de cookies, datos de tarjetas de crédito y otro tipo de información, este malware suele recolectar credenciales, ya sea de cuentas como de servicios, por ejemplo, VPN.

Investigadores revelaron hace algunos meses un caso de un usuario que trabajaba de manera remota y que fue infectado con RedLine. El malware robó las credenciales almacenadas en el gestor de contraseñas de un navegador basado en Chromium, lo que le permitió obtener las credenciales de la VPN que utilizaba para conectarse a la red de la compañía, lo que permitió que actores maliciosos comprometieran la red interna de la compañía unos meses después utilizando las credenciales de la VPN robadas.


Como recomendación final para los usuarios, activar siempre que sea posible la autenticación en dos pasos. De esta manera el atacante no podrá acceder a nuestras cuentas con la contraseña y el usuario, ya que necesitará también verificar su identidad con un código único que está en poder del usuario

Por último, recordar también utilizar contraseñas seguras, de ser posible frases como contraseña, utilizar un administrador de contraseñas confiable que permita crear y almacenar de manera ordenada contraseñas únicas para cada cuenta o servicio y de esta manera evitar la tentación de reutilizar las mismas credenciales o leves variaciones para acceder a otras cuentas.

Fuente: https://www.welivesecurity.com/

Malware en Linux, una tendencia al alza.

by morfil Noticias

En torno a Linux ha existido el mito de que es invencible frente al malware, sin embargo, la realidad es bien distinta, sobre todo en los últimos años, en los que la cantidad de malware que afecta al sistema Open Source ha aumentado de manera exponencial.

Según un informe de Crowdstrike del que se han hecho eco en Bleeping Computer, la cantidad de malware que afecta a Linux ha aumentando en un 35% en 2021 comparado con los datos obtenidos el año anterior. No es el crecimiento más grande que hemos publicado a través de los medios de TPNET, ya que AV-Test indicó en un informe de 2017 que el malware contra Linux había aumentado en un 300% en 2016.

De entre todo el malware sobresalen tres familias, Mirai, Mozi y XorDDoS, que juntas han representado el 22% de todos los ataques de malware dirigidos contra Linux en 2021. El objetivo principal sigue siendo los dispositivos IoT, así que los usuarios de escritorio no tienen por qué alarmarse, al menos de momento.

Mirai es todo un veterano entre los malware dirigidos contra Linux. Habiendo sido descubierto en el año 2016, es un potente troyano que, al menos en su forma original, fue creado con el fin de comprometer dispositivos IoT para sumarlos a una botnet orientada a lanzas ataques DDoS. De hecho, fue lo empleado para el ataque DDoS llevado a cabo contra las DNS de Dyn, una acción con la que se consiguió tumbar importantes sitios web como PayPal, Amazon, Twitter, Netflix, Spotify, Airbnb, Reddit y SoundCloud.

Que el código fuente de Mirai esté disponible ha permitido la creación de numerosas bifurcaciones, variantes y evoluciones del malware, las cuales por lo general implementan protocolos de comunicación de mando y control y se dedican a realizar ataques de fuerza bruta contra dispositivos con credenciales débiles. Comparado con el año anterior, en 2021 han sobresalido las variantes Sora, IZIH9 y Rekai, de las cuales el número de muestras ha aumentado un 33%, 39% y 83% respectivamente.

Cambiando de familia, Mozi es una botnet de P2P que se apoya en el sistema búsqueda de Tablas de Hash Distribuidas (DHT) para ocultar las comunicaciones sospechosas y evitar que sean detectadas por las soluciones encargadas de monitorizar la red. Según X-Force, la unidad de ciberseguridad de IBM, fue el responsable de alrededor del 90% del tráfico de red malicioso de dispositivos IoT entre octubre de 2019 y junio de 2020. Con el paso del tiempo ha ido evolucionando para añadir más vulnerabilidades y así expandir su radio de acción.

Y por último tenemos a XorDDoS, un troyano capaz de afectar a compilaciones de Linux para diversas arquitecturas, entre ellas ARM y x86, y emplea cifrado XOR para las comunicaciones de mando y control. Aplica fuerza bruta (probar contraseñas una a una hasta dar con la correcta) a través de SSH y utiliza el puerto 2375 para lograr acceso como root sin contraseña. La distribución de XorDDoS se ha extendido en 2021 en parte gracias a un actor malicioso de origen chino llamado Winnti, que lo implementaba con otras botnets derivadas.

Como vemos, el malware contra Linux es una tendencia al alza que apunta a mantenerse en los próximos años, pero aparentemente centrado en el Internet de las Cosas y en menor medida los servidores. Sin embargo, y a pesar de no arrastrar decisiones cuestionables implementadas en Windows, esto no debería de ser un incentivo para que los usuarios de escritorio bajen la guardia, más viendo que muchos de ellos ven a Linux como un sistema operativo invencible que ofrece seguridad por arte de magia.

En torno a Linux ha existido el mito de que es invencible frente al malware, sin embargo, la realidad es bien distinta, sobre todo en los últimos años, en los que la cantidad de malware que afecta al sistema Open Source ha aumentado de manera exponencial.

Según un informe de Crowdstrike del que se han hecho eco en Bleeping Computer, la cantidad de malware que afecta a Linux ha aumentando en un 35% en 2021 comparado con los datos obtenidos el año anterior. No es el crecimiento más grande que hemos publicado a través de los medios de TPNET, ya que AV-Test indicó en un informe de 2017 que el malware contra Linux había aumentado en un 300% en 2016.

De entre todo el malware sobresalen tres familias, Mirai, Mozi y XorDDoS, que juntas han representado el 22% de todos los ataques de malware dirigidos contra Linux en 2021. El objetivo principal sigue siendo los dispositivos IoT, así que los usuarios de escritorio no tienen por qué alarmarse, al menos de momento.

Mirai es todo un veterano entre los malware dirigidos contra Linux. Habiendo sido descubierto en el año 2016, es un potente troyano que, al menos en su forma original, fue creado con el fin de comprometer dispositivos IoT para sumarlos a una botnet orientada a lanzas ataques DDoS. De hecho, fue lo empleado para el ataque DDoS llevado a cabo contra las DNS de Dyn, una acción con la que se consiguió tumbar importantes sitios web como PayPal, Amazon, Twitter, Netflix, Spotify, Airbnb, Reddit y SoundCloud.

Que el código fuente de Mirai esté disponible ha permitido la creación de numerosas bifurcaciones, variantes y evoluciones del malware, las cuales por lo general implementan protocolos de comunicación de mando y control y se dedican a realizar ataques de fuerza bruta contra dispositivos con credenciales débiles. Comparado con el año anterior, en 2021 han sobresalido las variantes Sora, IZIH9 y Rekai, de las cuales el número de muestras ha aumentado un 33%, 39% y 83% respectivamente.

Cambiando de familia, Mozi es una botnet de P2P que se apoya en el sistema búsqueda de Tablas de Hash Distribuidas (DHT) para ocultar las comunicaciones sospechosas y evitar que sean detectadas por las soluciones encargadas de monitorizar la red. Según X-Force, la unidad de ciberseguridad de IBM, fue el responsable de alrededor del 90% del tráfico de red malicioso de dispositivos IoT entre octubre de 2019 y junio de 2020. Con el paso del tiempo ha ido evolucionando para añadir más vulnerabilidades y así expandir su radio de acción.

Y por último tenemos a XorDDoS, un troyano capaz de afectar a compilaciones de Linux para diversas arquitecturas, entre ellas ARM y x86, y emplea cifrado XOR para las comunicaciones de mando y control. Aplica fuerza bruta (probar contraseñas una a una hasta dar con la correcta) a través de SSH y utiliza el puerto 2375 para lograr acceso como root sin contraseña. La distribución de XorDDoS se ha extendido en 2021 en parte gracias a un actor malicioso de origen chino llamado Winnti, que lo implementaba con otras botnets derivadas.

Como vemos, el malware contra Linux es una tendencia al alza que apunta a mantenerse en los próximos años, pero aparentemente centrado en el Internet de las Cosas y en menor medida los servidores. Sin embargo, y a pesar de no arrastrar decisiones cuestionables implementadas en Windows, esto no debería de ser un incentivo para que los usuarios de escritorio bajen la guardia, más viendo que muchos de ellos ven a Linux como un sistema operativo invencible que ofrece seguridad por arte de magia.

Fuente: https://www.muylinux.com/

Compromiso de sitios web estratégicos de alto perfil en Medio Oriente.

by morfil Noticias

Los investigadores de ESET han descubierto ataques de watering hole contra sitios web de alto perfil en Medio Oriente y su vínculo con el software espía Candiru.

En 2018, los investigadores de ESET desarrollaron un sistema interno personalizado para descubrir ataques de watering hole (también conocidos como compromiso de sitios web estratégicos) en sitios web de alto perfil. El julio de 2020 el sistema nos ha notificado que la página web de la embajada de Irán en Abu Dabi había sido modificada y había empezado a inyectar código JavaScript desde https://piwiks[.]com/reconnect.js.

Nuestra curiosidad se despertó por la naturaleza del sitio web comprometido y en las semanas siguientes notamos que otros sitios web vinculados a Medio Oriente comenzaron a ser blanco de acciones similares. Rastreamos el inicio de la campaña hasta marzo de 2020, cuando se volvió a registrar el dominio piwiks[.]com. Creemos que estos compromisos de sitios web estratégicos solo comenzaron en abril de 2020 cuando el sitio web de Middle East Eye (middleeasteye.net), un sitio de noticias digitales con sede en Londres que cubre la región, comenzó a inyectar código desde el dominio piwiks[.]com.

A finales de julio o principios de agosto de 2020, se limpiaron todos los sitios web comprometidos restantes; es probable que los propios atacantes hayan eliminado los scripts maliciosos de los sitios web comprometidos. El grupo de amenazas se mantuvo en silencio hasta enero de 2021, cuando observamos una nueva ola de compromisos. Esta segunda ola duró hasta agosto de 2021, cuando todos los sitios web se limpiaron nuevamente. Un compañero investigador compartió algunos indicadores de esta segunda ola en Twitter, lo que nos permite establecer un vínculo con lo que Kaspersky denomina Karkadann.

Detallamos el funcionamiento interno de los compromisos en la sección Análisis técnico a continuación, pero vale la pena señalar que los objetivos finales son visitantes específicos de esos sitios web, que es probable que reciban un exploit para el navegador. Los sitios web comprometidos solo se utilizan como una forma de alcanzar los objetivos finales.

También descubrimos vínculos interesantes con Candiru, detallados en la sección Vínculos entre los sitios de watering hole, documentos de spearphishing y Candiru. Candiru es una empresa privada de spyware israelí que fue recientemente añadida a la Lista de entidades (entidades sujetas a restricciones de licencia) del Departamento de Comercio de EE. UU. Esto puede impedir que cualquier organización con sede en los EE. UU. haga negocios con Candiru sin obtener primero una licencia por parte del Departamento de Comercio.

Al momento de escribir este artículo los operadores parece que están haciendo una pausa, probablemente para reorganizarse y hacer que su campaña sea más sigilosa. Esperamos volver a verlos en los próximos meses.

Blancos de ataque

Nuestro seguimiento muestra que los operadores están principalmente interesados ​​en Oriente Medio, y con un énfasis particular en Yemen. La Tabla 1 muestra cuáles fueron las víctimas conocidas en 2020 y 2021.

Tabla 1. Dominios comprometidos durante la primera ola

Compromised websiteC&CFromToDetail
middleeasteye.netpiwiks[.]com2020‑04‑042020‑04‑06A UK-based online newspaper covering the Middle East.
piaggioaerospace.itpiwiks[.]com2020-07-082020-11-05An Italian aerospace company.
medica-tradefair[.]corebrandly[.]site2020-07-092020-10-13Fake website impersonating a German medical trade fair in Düsseldorf.
mfa.gov.irpiwiks[.]com2020-07-112020-07-13Ministry of Foreign Affairs of Iran.
almanar.com.lbrebrandly[.]site2020-07-242020-07-30Television channel linked to Hezbollah.
smc.gov.yevisitortrack[.]net
hotjar[.]net		2021-01-18
2021-04-21		2021-04-14
2021-07-30		Ministry of Interior of Yemen.
almasirahnews.comvisitortrack[.]net
hotjar[.]net		2021-01-25
2021-04-21		2021-03-25
2021-07-17		Yemeni Television channel linked to the Ansar Allah movement (Houthis).
casi.gov.syhotjar[.]net2021-02-01UnknownCentral Authority for the Supervision and Inspection of Syria.
moe.gov.syhotjar[.]net2021-02-01UnknownSyrian Ministry of Electricity.
almanar.com.lbwebfx[.]bz
webffx[.]bz
webffx[.]bz		2021-02-03
2021-03-12
2021-03-24		2021-02-23
2021-03-24
2021-03-25		Television channel linked to Hezbollah.
manartv.com.lbwebfx[.]bz2021-02-032021-03-22Television channel linked to Hezbollah.
mof.gov.yehotjar[.]net2021-02-112021-07-14Ministry of Finance of Yemen.
scs-net.orghotjar[.]net2021-03-07UnknownInternet Service Provider in Syria.
customs.gov.yelivesesion[.]bid2021-03-242021-06-16Customs agency of Yemen.
denel.co.za
pmp.co.za
deneldynamics.co.za
denellandsystems.co.za
denelaviation.co.za		site-improve[.]net2021-03-31
2021-03-31
2021-04-03
2021-04-04
2021-04-07		2021-07-22
Unknown
2021-07-27
2021-07-23
2021-07-19		A South African state-owned aerospace and military technology conglomerate.
yemen.net.yehotjar[.]net2021-04-152021-08-04Internet service provider in Yemen.
yemenparliament.gov.yehotjar[.]net2021-04-202021-07-05Parliament of Yemen.
yemenvision.gov.yehotjar[.]net2021-04-212021-06-13Yemeni government website.
mmy.yehotjar[.]net2021-05-042021-08-19Yemeni media linked to the Houthis.
thesaudireality.combootstrapcdn[.]net2021-06-162021-07-23Likely dissident media outlet in Saudi Arabia.
saba.yeaddthis[.]events2021-06-18UnknownYemeni news agency linked to Houthis. However, it seems it was taken over by the Southern Transitional Council in early June 2021, just before this website was compromised.

medica-tradefair[.]co es el único atípico en esta lista, ya que el dominio no fue comprometido, pero sí fue operado por los propios atacantes. Estaba alojado en ServerAstra, al igual que todos los demás servidores C&C utilizados en 2020.

El sitio imita la web legítima de medica-tradefair.com, que es el sitio web de la feria comercial MEDICA del Foro Mundial de Medicina que se celebra cada año en Düsseldorf (Alemania). Los operadores simplemente clonaron el sitio web original y agregaron un pequeño fragmento de código JavaScript.

Como se observa en la Figura 2, el contenido no parece haber sido modificado. Es probable que los atacantes no pudieran comprometer el sitio web legítimo y tuvieran que configurar uno falso para inyectar su código malicioso.

Fuente: https://www.welivesecurity.com/

Emotet regresó y se distribuye a través de correos con adjuntos maliciosos.

by morfil Noticias

Luego de la caída de Emotet a principios de 2021, el 14 de noviembre la botnet volvió a la actividad en campañas de malspam que contienen distintos tipos de adjuntos maliciosos.

En enero de 2021 una operación liderada por Europol Interpol desmantelaba la botnet Emotet, uno de los malware más prevalentes de los últimos años que venía operando desde 2014 y que se estima provocó daños económicos por aproximadamente 2.500 millones de dólares. En total unos 700 servidores de comando y control (C&C) utilizados por los atacantes para comprometer equipos y lanzar nuevas campañas maliciosas fueron desconectados como parte de la operación y rápidamente se observó una caída abrupta en su actividad. Sin embargo, pese a los esfuerzos, el pasado 14 de noviembre se detectó una nueva campaña de malspam que distribuía el troyano Trickbot que luego descargaban en una segunda instancia una DLL maliciosa correspondiente a Emotet.

En el siguiente tweet publicado por SANS se muestra la cadena de infección de la nueva versión de la botnet Emotet.

Estas nuevas campañas de malspam contienen archivos adjuntos que pueden presentarse en tres distintos formatos:

  • Archivos de Microsoft Excel (.xlsm)
  • Archivos de Word (.docm)
  • Archivos comprimidos en formato ZIP que vienen protegidos con contraseña e incluyen un archivo Word

Por otra parte, si bien se ha observado la distribución a través de Trickbot, algunos investigadores ya confirman que también comenzaron a circular campañas a través del correo que descargan Emotet directamente, con lo cual podría ser una señal de que su infraestructura está creciendo.

Según explicó el investigador Cryptolaemus que desde hace tiempo sigue la actividad de Emotet, la nueva versión analizada presenta algunas modificaciones con respecto a las anteriores. Una de ellas es que ahora cuenta con siete comandos que amplía las posibilidades de descarga de binarios.

Por su parte, desde la organización Abuse.ch compartieron una lista de servidores de C&C para que puedan ser bloqueados para mayor protección.

Vale la pena recordar que en el pasado Emotet era utilizado como infraestructura de malware como servicio (MaaS, por sus siglas en inglés) para distribuir otras amenazas. Si bien en este resurgir Trickbot está distribuyendo Emotet, antes de la interrupción de su infraestructura Emotet distribuía Trickbot, el cual a su vez era utilizado para descargar algunos ransomware como Ryuk o Conti.

Fuente: https://www.welivesecurity.com/

Qué es un adware y cuáles son sus características.

by morfil Noticias

Posiblemente muchas veces te sucedió que mientras navegabas por Internet aparecían ventanas emergentes con mensajes como: “ganaste un nuevo celular gratis haz clic AQUÍ”, “eres nuestro usuario 500.000 y has ganado un premio haz clic AQUI”, u otro tipo de mensajes similares que hacen referencia a cosas demasiado buenas para ser verdad. A través de este tipo de anuncios es cómo más comúnmente se presenta el adware a los usuarios, ya sea a través de la computadora o el smartphone. Si el usuario hace clic donde no debe y se infecta, probablemente comiencen a aparecer nuevas ventanas emergentes desplegando más publicidad invasiva y no deseada.

Qué es adware

Adware es la combinación de las palabras “advertising” (publicidad) y “software” (programa) y se refiere a cualquier software, sea malicioso o no, que nos muestre anuncios en una app o sobre el navegador web para generar ganancias a partir de clics e impresiones en los anuncios.

¿El adware es considerado malware?

Si bien se suele hacer referencia al adware como un tipo de malware, la realidad es que el adware es considerado un grayware o aplicación potencialmente no deseada (PUA, por sus siglas en inglés). Esto quiere decir que, si bien puede conducir a sitios maliciosos, el riesgo de que realice otra acción maliciosa es menor, aunque esto último puede ocurrir.

Por lo tanto, si bien el adware no suele ser peligroso en sí mismo, en algunos casos puede tener otros objetivos que suponen un riesgo mayor; por ejemplo, recolectar datos. Este fue el caso por ejemplo del adware Wajam, capaz de recopilar y filtrar información del usuario víctima, como software instalado, el modelo del equipo, entre otros datos.

Podemos notar que tenemos instalado un adware en nuestro dispositivo cuando empezamos a observar que aparecen ventanas emergentes con anuncios falsos sin ningún motivo aparente, o cuando aparecen varios anuncios de forma consecutiva causando una molestia a la hora de navegar, o si somos redirigidos a sitios no deseados que pueden llevar a la descarga de malware.

Por este tipo de comportamiento es tal vez el malware más fácil de detectar, ya que toda su actividad maliciosa es invasiva y notoria mientras el usuario navega por Internet.

Cómo llega el adware a nuestros dispositivos

Existen diversas maneras de instalar este tipo de software no deseado en nuestros dispositivos. Por ejemplo, puede colarse en la computadora al instalar un software gratuito (Freewares o Sharewares) y realizar modificaciones sobre nuestro navegador; por ejemplo, instalando una barra de herramientas (toolbars) que no deseamos, modificarnos la página de inicio del navegador o el buscador que usamos por defecto por uno que nos agregue anuncios publicitarios que, en la mayoría de los casos, no tienen relación con nuestra búsqueda principal, como podemos ver en la Imagen 1.

Imagen 1. Enlaces de anuncios publicitarios que no tienen relación con nuestra búsqueda

Cuando se instalan junto a un software gratuito es el propio usuario el que muchas veces acepta la instalación del adware por no prestar atención durante el proceso de instalación. Esto significa que el adware muchas veces accede al sistema de manera “legal” porque el usuario aceptó la instalación. Lo que se recomienda es eliminar un archivo que es detectado por la solución de seguridad como adware, ya que existen posibilidades de que contenga código malicioso.

Cómo se propaga el adware

El adware puede propagarse e infectar tu computadora de varias maneras, por ejemplo:

  • Instalando en el navegador extensiones no confiables o desconocidas.
  • Instalando software gratuito (Freewares o Sharewares) de sitios con una reputación dudosa.
  • Navegando en sitios “no confiables” o que estén infectados con adware, algunos de estos pueden mostrar contenido multimedia como películas online gratis, partidos de fútbol online gratis, contenido para adultos, minijuegos online, etc.
  • A través de archivos ejecutables que se hacen pasar por un software en particular pero que nos terminan instalando otros.
  • Haciendo clic en anuncios sospechosos.

Es importante recordar que cuando uno descarga e instala software en la computadora, estos programas traen un contrato de “términos y condiciones de uso” donde se detallan los derechos de propiedad intelectual, qué se va a instalar en el sistema, qué permisos se están otorgando y cuáles no, entre otras cosas.

Cuando uno acepta este acuerdo, sin haberlo leído detenidamente, está dando su consentimiento a la posible instalación de uno de estos adware o cualquier otro tipo de software que pueda estar incluido, en el caso de que estén incluidos, sobre la computadora.

Como dijimos antes, es importante prestar atención durante todo el proceso de instalación, ya que en algunos casos se da la posibilidad de elegir si se quieren instalar otras aplicaciones o no, que son ajenas al software que se va a instalar.

¿Cómo afecta a mi computadora?

A continuación, se listan una serie de posibles comportamientos que pueden dar indicios de una posible infección:

  • El navegador empieza a funcionar más lento que de costumbre o puede cerrarse de forma inesperada.
  • Aparecen anuncios en páginas web donde antes no aparecían.
  • Se modificó la página de inicio o la página de búsqueda sin nuestra autorización.
  • Cada vez que se visita una página web, el navegador es redirigido a una página diferente.
  • Aparecen nuevas barras de herramientas (toolbars), plugins o extensiones en el navegador que antes no estaban.
  • Hacer clic en cualquier parte de la página abre una o más ventanas emergentes con anuncios no deseados.
  • Se instalan aplicaciones no deseadas en la computadora sin nuestro permiso. 

¿En mi teléfono también?

Los Adwares no solo afectan a las computadoras, también pueden propagarse en dispositivos móviles infectándolos por medio del navegador web, o a través de aplicaciones alojadas en tiendas tanto oficiales como tiendas no oficiales de terceros.Se recomiendan las siguientes lecturas con relación a adwares para dispositivos móviles:

  • Troyanos propagan adware entre usuarios de Android explica el funcionamiento de un troyano que hacía peticiones a decenas de anuncios publicitarios.
  • Rastrean desarrollador de adware para Android que afecta a millones de usuarios donde explica una campaña de adware sobre aplicaciones que estaban disponibles en Google Play.

¿Cómo puedo protegerme?

Para poder protegernos de este tipo de amenazas se recomienda tener en cuenta los siguientes puntos:

  • Mantener actualizado el navegador de web.
  • Evitar abrir anuncios con falsas advertencias o aquellos que contengan mensajes muy buenos para ser verdad.
  • Utilizar una extensión confiable que bloquee anuncios mientras se navega por Internet.
  • Evitar navegar por sitios web no confiables, en especial aquellos que el navegador los marque como no seguros.
  • Evitar descargar programas de fuentes no confiables
  • Durante la instalación de un programa, leer con detenimiento los términos y condiciones de uso antes de aceptarlos.
  • Contar con una solución de seguridad para bloquear este tipo de contenidos cuando se navega por Internet.

Fuente: www.welivesecurity.com

Gelsemium: un malware complejo y modular utilizado por grupo de cibersespionaje

by morfil Noticias

Investigadores de ESET analizan las nuevas campañas del grupo Gelsemium y el complejo malware modular que ha utilizado en ataques contra gobiernos, universidades, fabricantes de productos electrónicos y organizaciones religiosas en Asia del Este y Oriente Medio.

A mediados de 2020 los investigadores de ESET comenzaron a analizar múltiples campañas, que luego fueron atribuidas al grupo Gelsemium, y rastrearon la primera versión del malware que utiliza el grupo y que se remonta a 2014. Las víctimas de estas campañas se encuentran en el este de Asia, así como en el Medio Oriente, e incluyen gobiernos, organizaciones religiosas, fabricantes de productos electrónicos y universidades.

Principales puntos en este reporte:

  • Los investigadores de ESET creen que Gelsemium está detrás del ataque de cadena de suministro contra BigNox que informamos anteriormente y que denominamos Operación NightScout
  • Los investigadores de ESET encontraron una nueva versión de Gelsemium, un malware complejo y modular al que nos referimos más adelante como Gelsemine, Gelsenicine y Gelsevirine
  • Se descubrieron nuevos blancos de ataque que incluyen gobiernos, universidades, fabricantes de productos electrónicos y organizaciones religiosas en Asia Oriental y Oriente Medio
  • Gelsemium es un grupo de ciberespionaje activo desde 2014

La distribución geográfica de los blancos de ataque de Gelsemium se puede ver en la Figura 1.

Componentes de Gelsemium

Toda la cadena de Gelsemium puede parecer simple a primera vista, pero las exhaustivas configuraciones, implantadas en cada etapa, modifican sobre la marcha la configuración para el payload final, lo que hace que sea más difícil de entender. Los comportamientos analizados a continuación están vinculados a la configuración. Por lo tanto, los nombres de archivo y las rutas pueden que sean diferentes en otras muestras. La mayoría de las campañas que observamos siguen lo que describimos aquí.

Gelsemine: el dropper

La primera etapa de Gelsemium está compuesta por un dropper escrito en C++ que utiliza la biblioteca Microsoft Foundation Class (MFC). Esta etapa contiene varios binarios de etapas adicionales. El tamaño del dropper oscila entre 400 kB y 700 kB, lo cual es inusual y podría ser incluso mayor si los ocho ejecutables embebidos no estuvieran comprimidos. Los desarrolladores usan la biblioteca zlib, vinculada estáticamente, para reducir en gran medida el tamaño total. Detrás de este ejecutable de gran tamaño se esconde un mecanismo complejo pero flexible que es capaz de droppear diferentes etapas según las características de la computadora víctima, ya sea que corra en 32 o 64 bits o de acuerdo con los privilegios (usuario estándar frente a administrador). Casi todas las etapas están comprimidas, ubicadas en la sección de recursos del PE, y mapeadas en el espacio de direcciones de memoria del mismo componente. La Figura 3 ilustra todas las etapas del componente Gelsemine.

Gelsenicine: el loader

Gelsenicine es un loader que recupera Gelsevirine y lo ejecuta. Hay dos versiones diferentes del loader: ambas son DLL; sin embargo, difieren en el contexto en el que se ejecuta Gelsemine.

Para víctimas con privilegios de administrador, Gelsemine droppea Gelsenicine en C:\Windows\System32\spool\prtprocs\x64\winprint.dll (DLL en modo usuario para el procesador de impresión) que luego se carga automáticamente por el servicio spoolsv de Windows. Para escribir un archivo en el directorio %WINDIR%/system32, los privilegios de administrador son obligatorios; de ahí el requisito mencionado anteriormente.

En el caso de los usuarios con privilegios estándar que son comprometidos por Gelsemine se droppea Gelsenicine en un directorio diferente que no requiere privilegios de administrador. La DLL chrome_elf.dll se droppea en CommonAppData/Google/Chrome/Application/Library/.

Gelsevirine: el “plugin principal”

Gelsevirine es la última etapa de la cadena y sus desarrolladores la llaman MainPlugin (plugin principal), de acuerdo con el nombre de la DLL y también la ruta PDB que se encuentra en las muestras antiguas (Z:\z_code\Q1\Client\Win32\Release\MainPlugin.pdb). Vale la pena mencionar que si los defensores logran obtener esta última etapa solamente, no funcionará a la perfección, ya que requiere que sus argumentos hayan sido configurados por Gelsenicine.

La configuración utilizada por Gelsenicine contiene un campo llamado controller_version que creemos que es el control de versiones utilizado por los operadores para este MainPlugin. La Figura 4 proporciona una línea de tiempo de las diferentes versiones que hemos observado en actividad. Las fechas son aproximadas.

Links/herramientas adicionales

Durante nuestra investigación encontramos algunos programas maliciosos interesantes que se describen en las siguientes secciones.

  • Operación NightScout (BigNox): en enero de 2021, otro investigador de ESET analizó y escribió un artículo sobre Operación NightScout; un ataque de cadena de suministro que comprometió el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac, y parte de la gama de productos de BigNox con más de 150 millones de usuarios en todo el mundo. La investigación reveló cierta relación entre este ataque de cadena de suministro y el grupo Gelsemium. Las víctimas originalmente comprometidas por ese ataque fueron luego comprometidas por Gelsemine. Entre las diferentes variantes examinadas, la “variante 2” del presente artículo muestra similitudes con el malware Gelsemium.
  • OwlProxy: este módulo también viene en dos variantes – versiones de 32 y 64 bits – y como resultado contiene una función para probar la versión de Windows al igual que en los componentes de Gelsemium.
  • Chrommme: Chrommme es un backdoor que encontramos durante nuestras aventuras por el ecosistema Gelsemium. Las similitudes de código con los componentes de Gelsemium son casi inexistentes, pero se encontraron pequeños indicadores durante el análisis que nos llevan a creer que de alguna manera está relacionado con el grupo. Se encontró el mismo servidor C&C tanto en Gelsevirine como en Chrommme, ambos utilizan dos servidores C&C. Chrommme se encontró en la máquina de una organización también comprometida por el grupo Gelsemium.

Conclusión

El bioma Gelsemium es muy interesante: muestra pocas víctimas (según nuestra telemetría) con una gran cantidad de componentes adaptables. El sistema de plugins muestra que sus desarrolladores tienen un conocimiento profundo de C++. Pequeñas similitudes con herramientas de malware conocidas arrojan luz sobre posibles relaciones con otros grupos y actividades pasadas. Esperamos que esta investigación impulse a otros investigadores a publicar sobre el grupo y revelar más raíces relacionadas con esta biosfera de malware.

Se puede encontrar una lista completa y completa de Indicadores de Compromiso (IoC) y muestras en el whitepaper y en nuestro repositorio de GitHub.

Fuente: www.welivesecurity.com

Malware: la principal preocupación de las empresas de América Latina

by morfil Noticias

El malware es el principal responsable de los incidentes de seguridad en las empresas latinoamericanas y representa la principal preocupación en ciberseguridad, revela el ESET Security Report 2021.

Luego de un año repleto de desafíos para la ciberseguridad nos preguntamos qué tan preparadas están las empresas de América Latina para hacer frente a los retos ya existentes, y sobre todo a los nuevos que presentó la pandemia. Para conocer más al respecto elaboramos el ESET Security Report 2021, un informe anual en el que analizamos el panorama de la seguridad de las empresas de América Latina a partir de encuestas realizadas a más de 1000 ejecutivos y representantes de empresas de 17 países de la región y que incluye también datos obtenidos de la telemetría de ESET para ayudarnos a comprender mejor el panorama actual. El informe destaca cuáles son las preocupaciones de las empresas, los principales incidentes de seguridad que sufrieron el último año, y cuáles son los principales mecanismos de gestión de la seguridad que implementan las organizaciones en los tiempos que corren.

Contexto

Como ya hemos mencionado en WeLiveSecurity, uno de los grandes retos para las empresas debido a la pandemia ha sido el teletrabajo. Las consecuencias de este cambio repentino no solo están vinculadas con la parte productiva, sino que tiene varios frentes. Uno de ellos es el de la ciberseguridad. Este giro hacia una mayor virtualidad se dio en un contexto en el que los cibercriminales también intentaron sacar provecho de esta situación impuesta por la pandemia para comprometer a las empresas y obtener su beneficio económico. Por ejemplo, utilizando el COVID-19 como señuelo para todo tipo de campañas maliciosas, ya sea para robar datos personales o para distribuir malware, así como también con el aumento de los ataques apuntando a las conexiones remotas.

Principales preocupaciones de las empresas

Este escenario de trabajo remoto, combinado con el crecimiento de los intentos de ataque, aumentó la preocupación de las empresas al ver los riesgos que esto puede suponer para la seguridad de su información. Esta realidad se vio reflejada en la opinión de los ejecutivos encuestados, ya que según revela el ESET Security Report 2021, el 64% de las organizaciones de la región ve en el malware la principal preocupación desde el punto de vistas de la seguridad.

Esta preocupación es coherente con la realidad, ya que el 34% de los incidentes que sufrieron el último año las empresas latinoamericanas fue debido a los códigos maliciosos, siendo la principal causa de incidentes de seguridad. De acuerdo con los datos de la telemetría de ESET, las empresas en Brasil fueron las más afectadas por malware con el 19% de todas las detecciones en Latinoamérica, seguidas por las de México (17,5%), Argentina (13,3%), Colombia (10,6%) y Perú (8,9%). Asimismo, los ataques de ingeniería social son responsables del 20% de los incidentes de seguridad de las empresas latinoamericanas.

Por otra parte, el último año se registró un aumento de 704% en el número de los ataques de fuerza bruta a los servicios de acceso remoto como el RDP, mientras que el número de usuarios únicos afectados por estos intentos de comprometer los accesos remotos registraron un incremento de 196%. Probablemente, el crecimiento del ransomware en 2020 sea uno de los principales responsables de este importante aumento.

A diferencia de lo que ocurrió en las últimas ediciones del ESET Security Report, en esta oportunidad la infección con malware, que generalmente ocupaba la tercera posición en el top tres de las principales preocupaciones, pasó a ser la mayor preocupación para las organizaciones, relegando al segundo y tercer lugar en el orden de preocupaciones al robo de información (60%) y el acceso indebido a los sistemas (56%).

El ransomware y el robo de información

En 2020 quedó demostrada la evolución el ransomware. Este código malicioso no solo registró una importante actividad, sino que los grupos de ransomware además evolucionaron hacia una mayor sofisticación y uso de nuevas técnicas. Estos cambios en el ransomware están directamente relacionados con las preocupaciones, no solo por el hecho de que el ransomware es un tipo de malware, sino porque en 2020 muchos grupos comenzaron a adoptar el robo de información a su estrategia —además del uso de otras técnicas extorsivas— con el objetivo de presionar a las víctimas con divulgar información sensible si no se paga el rescate.

Si analizamos este cambio y tenemos en cuenta que el 60% de las organizaciones de América Latina tiene como su principal preocupación el robo de información; que el ransomware viene creciendo en actividad con ataques dirigidos a grandes y pequeñas empresas; que las bandas de ransomware han estado aprovechando el teletrabajo para acceder a redes corporativas a través de conexiones remotas; que están demandando sumas de dinero cada vez más elevadas por el rescate de la información, y que la escena del ransomware está repleta de grupos que han ido ganando reputación, resulta evidente que el ransomware es una amenaza para preocuparse y que requiere atención. Sobre todo teniendo en cuenta que, como veremos más adelante en este artículo, el porcentaje de empresas que utiliza soluciones para el respaldo de la información es relativamente bajo.

Por otra parte, si bien otras amenazas que atentan contra la confidencialidad de la información como son los backdoors y el spyware presentaron una caída en 2020 con respecto al año anterior, esto no quiere decir que no tenga una importante actividad en Latinoamérica. De hecho, Perú es el único país del mundo que integra el top 3 en cantidad de detecciones de spyware y también de backdoors.

Otras amenazas

El malware bancario registró una caída en la cantidad de detecciones el último año, tal vez por el mayor atractivo que pueden resultar otro tipo de amenaza para los operadores, pero hemos visto y analizado varias familia de malware bancario que comúnmente apuntan a países América Latina que en el último año también ampliaron su espectro geográfico, apuntando a países de Europa (principalmente España) y también a Estados Unidos. Las campañas que distribuyen troyanos bancarios generalmente son muy focalizadas a ciertos países y el último año tuvieron en Brasil, México, Chile y Argentina los países más apuntados mediante el envío principalmente de correos de phishing.

Por su parte, el malware para minería de criptomonedas, que desde 2018 presentaba una caída constante, dio un giro en el último cuarto de 2020 y comenzó a crecer, registrando en Perú (10,1%) y Ecuador (5,1%) la mayor cantidad de detecciones de mineros de criptomonedas entre los países de América Latina. Este cambió en el malware de minería de criptomonedas probablemente se debió al aumento en el valor del Bitcoin y de otras divisas digitales como Ethereum o Monero. Además, el crecimiento en la tasa de ataques de ransomware hizo que muchas víctimas se sientan obligadas a adquirir las criptomonedas. Por estas razones, no es de extrañar la proliferación de las amenazas informáticas en torno a minería de criptomonedas.

Medidas que están tomando las empresas de la región

Los principales controles de seguridad implementados en las empresas son las soluciones antimalware (86%), firewalls (75%) y soluciones de respaldo de información (68%). Sin embargo, otras medidas importantes registran baja implementación, como es el uso de soluciones de doble factor de autenticación (22%).

En cuanto al uso de soluciones para el respaldo de la información, la cifra es muy baja, sobre todo si consideramos la actividad de una amenaza como el ransomware y tenemos presente que es la manera más efectiva para recuperarse de un incidente causado por este tipo de código malicioso evitando tener que pagar a los atacantes.

Otro dato preocupante es la baja implementación de soluciones de seguridad en dispositivos móviles, con apenas el 15% de las organizaciones, sobre todo si pensamos que en estos tiempos de teletrabajo los dispositivos móviles son utilizados para actividades laborales además de personales y pueden ser la puerta de entrada a la información sensible de la empresa.

En cuanto a las prácticas de gestión, la de mayor adopción con el 71% corresponde a la actualización de aplicaciones, seguida por la implementación de políticas de seguridad (68%), y por las auditorías (40%), tanto internas como externas. Sin embargo, y volviendo al tema del ransomware y la actividad que presenta en el último tiempo, es muy bajo el porcentaje (39%) de empresas que cuentan con un plan de respuesta ante incidentes y un plan de continuidad del negocio.

En lo que respecta al presupuesto disponible para el área de ciberseguridad, para el 81% de las empresas el presupuesto asignado para el área de ciberseguridad es insuficiente. Si bien el 24% afirmó que el último año aumentó el presupuesto en seguridad, el 22,5% aseguró que se redujo.

Por último, en el caso de actividades de capacitación y concientización al interior de las empresas (un elemento clave sobre todo en estos tiempos de trabajo remoto) el 37% de los encuestados afirmó realizar actividades de este tipo de forma periódica, mientras que 41% lo realiza de manera ocasional y un 19% no realiza este tipo de acciones.

Conclusión

La virtualidad forzada por la pandemia alteró la dinámica de muchos sectores productivos. Algunas industrias y empresas estaban preparadas, pero otras tantas se vieron obligadas a incursionar en el comercio electrónico y el teletrabajo sin haberlo experimentado previamente. Todo esto acompañado por una actividad maliciosa que creció y que buscó sacar provecho de esta transición por la que pasaron muchas organizaciones. El escenario es complejo y varía según industria y el tamaño de las empresas, pero requiere tomar medidas frente a una industria del cibercrimen que continua evolucionando y buscando la manera de sacar provecho de las oportunidades que se presentan para obtener ganancias financieras.

Fuente: www.welivesecurity.com

WhatsApp rosa: cuidado con esta falsa actualización que descarga un troyano

by morfil Noticias

El malware envía respuestas automáticas a mensajes en WhatsApp y otras aplicaciones de chat importantes, como Signal o Telegram.

Los usuarios de Android deben tener cuidado con un mensaje que está circulando a través de WhatsApp y otras importantes plataformas de mensajería y que promete la posibilidad de cambiar el color de WhatsApp a rosa. Disfrazado como una actualización oficial para la plataforma, el archivo que se invita a descargar para acceder a “WhatsApp Pink” es en realidad una variante del mismo malware con características de gusano que se distribuía automáticamente a través de mensajes de WhatsApp y que el investigador de ESET, Lukas Stefanko, analizó en enero de este año.

“Esta versión actualizada del troyano no envía respuestas automáticas solo a los mensajes que llegan de WhatsApp, sino también a los mensajes recibidos en otras aplicaciones de mensajería instantánea, lo que podría ser la razón de su aparente propagación más amplia”, dijo Stefanko.

“El troyano envía estas respuestas automáticas a cualquier mensaje que recibe el usuario en aplicaciones como WhatsApp, WhatsApp Business, Signal, Skype, Viber, Telegram”, añadió.

Si bien la nueva versión de este malware (detectada por los productos de ESET como Android/Spams.V) no hace más que eso, Stefanko advirtió que esta podría ser solo una “versión de prueba” y en el futuro puede aparecer una versión más peligrosa. Asimismo, el sitio web del que se descarga podría utilizarse en el futuro para alojar varios tipos de payloads (cargas maliciosas).

Este nuevo troyano para Android fue reportado por primera vez por el usuario de Twitter @Rajaharia. Al parecer se detectó por primera vez en India, donde se compartió en varios grupos de chat masivos de populares servicios de mensajería instantánea.

Según Stefanko, el engaño no solicita a los usuarios que descarguen e instalen la app maliciosa desde un lugar que diferente a la tienda oficial Google Play (y que deshabiliten la clave y la medida de seguridad habilitada de forma predeterminada en dispositivos Android); sin embargo, el malware sí solicita permiso para acceder a las notificaciones del usuario.

Una vez que se completa el proceso de instalación y el usuario hace clic en “WhatsApp Pink”, la aplicación se oculta y se muestra un mensaje indicando que nunca se llegó a instalar. Entonces cuando la víctima reciba un mensaje responderá el mismo sin saberlo y provocará que se propague más.

Si descargó “WhatsApp Pink” puede eliminarla a través de Configuración/Ajustes y el submenú Administrador de aplicaciones o instalando una solución de seguridad para Android que escaneará su dispositivo y eliminará automáticamente el malware.

A modo de prevención, hay varios recaudos que puede tomar y que reducirán las posibilidades de que se convierta en víctima de esquemas similares en el futuro:

  • Nunca haga clic en enlaces o archivos adjuntos que recibió a través de un mensaje no solicitado o de alguien que no conoce.
  • Descargue solo aplicaciones de tiendas de aplicaciones oficiales, ya que cuentan con rigurosos procesos de aprobación.
  • Utilice siempre una solución de seguridad móvil de confianza
  • Tenga cuidado con los permisos que otorga a las aplicaciones

Fuente: www.welivesecurity.com

Ecuador, una de las naciones más atacadas por los ‘hackers’

by morfil Noticias

El país ocupa el primer lugar con mayor incidencia del ‘malware’ a nivel andino. El secuestro de equipos es uno de los problemas frecuentes. Foto: Pixabay.

Mientras el covid-19 se propaga por el mundo, los piratas informáticos aprovechan esta situación para expandir virus que afectan tanto a las empresas como a los usuarios del hogar. Entre los países más atacados por gusanos informáticos están Rusia, Alemania, China, Estados Unidos y Brasil. Ecuador no se libra de estos programas maliciosos. Según la empresa de seguridad Kaspersky, nuestro país se ha mantenido en la posición 49 dentro de las estadísticas de países con mayores incidencias de software malicioso o malware. A nivel andino, de acuerdo con el especialista en ciberseguridad Galoget Latorre, Ecuador ocupa el primer lugar en ataques tipo ‘ransomware’, seguido por Bolivia y Venezuela. Este código malicioso permite el secuestro de datos que solo son liberados cuando se paga un rescate. Los incidentes de seguridad en las empresas se dispararon entre el 2018 y el 2019; pero los ataques dejaron de ser masivos y se volvieron más específicos. Fue precisamente el ‘ransomware’ el que proliferó. En Latinoamérica, en el 2018, Ecuador y Venezuela sufrieron la mayor cantidad de ataques a sus empresas (22%), les siguieron Chile, Costa Rica y Panamá con 21%. En el 2019, en América Latina se mantuvieron los ataques a empresas, sobre todo en países como México y Perú. Ecuador ocupó el cuarto lugar en la región en cuanto a compañías con este problema. La modalidad del teletrabajo, por la pandemia, trajo consigo un mayor número de ataques. En Ecuador, el informe ‘ESET Security Report 2020 de Latinoamérica’ indica que el 70% de las empresas que trabajan con esta marca de antivirus en el país reportó incidentes de seguridad. Este valor, de hecho, fue el más alto en la región, solo igualado por Paraguay, que también registró ese porcentaje. En las primeras semanas de este año se observa una proliferación del ‘malware’. Una amenaza informática que prevalece es la denominada JS/Adware.Atocari, con una incidencia del 20,16% entre los virus detectados en el país.

Infecciones de ‘malware’ en empresas de tres países latinoamericanos

Porcentaje de compañías que han reportado ataques de códigos maliciosos

Los bulos proliferan​Varias campañas de ataque aprovechaban temáticas del coronavirus para difundirse y motivar a que las víctimas abran los archivos adjuntos. La firma de seguridad Check­Point sostiene que, desde principios de enero del 2020, se han registrado más de 16 000 nuevos dominios relacionados con el coronavirus y cerca de un 20% de los mismos fue clasificado como potencialmente peligroso. Latorre señala que para este año se espera un incremento de nuevas variantes de amenazas informáticas, mayor complejidad y formas de infección. Por esta razón, es necesario tomar medidas para reducir el impacto del ‘malware’, lo cual se logra a través de la educación del usuario. La primera barrera de protección son las contraseñas. Estas deben ser complejas, únicas para cada servicio y deben ser cambiadas con frecuencia. Asimismo, es importante no abrir enlaces de origen desconocido, no descargar programas de fuentes no oficiales y no utilizar software pirateado, ya que estos tienen códigos maliciosos ocultos.

Fuente: www.elcomercio.com

Malware se distribuye vía mensajes de WhatsApp y presenta características de gusano

by morfil Noticias
Los usuarios de Android deben tener cuidado con un malware que se distribuye a través de WhatsApp y engaña a los usuarios para que descarguen una falsa app de Huawei de un sitio que simula ser Google Play.

Un nuevo malware que se propaga a través de WhatsApp y busca engañar a posibles víctimas invitandolas a descargar una aplicación de un sitio web que simula ser Google Play. El investigador de malware de ESET, Lukas Stefanko, analizó la amenaza dirigida a usuarios de Android.

“Este malware se propaga a través del WhatsApp de la víctima, respondiendo automáticamente ante cualquier notificación de mensaje de WhatsApp con un enlace a una falsa aplicación móvil y maliciosa de Huawei”, dijo Stefanko. Los responsables de este malware, que fue reportado por primera vez por el usuario de Twitter @ReBensk, parecen tener como objetivo generar ingresos de forma fraudulenta a través anuncios publicitarios.

Para instalar la aplicación maliciosa, se solicita a los usuarios que permitan la instalación de aplicaciones desde sitios que no sean la tienda oficial Google Play, eliminando así una barrera de seguridad que en dispositivos Android viene habilitada por defecto.

Una vez que se completa el proceso de instalación, la aplicación solicita una serie de permisos, incluido el acceso a notificaciones, que en combinación con la función de respuesta directa de Android se utiliza para obtener la capacidad de propagarse.

“Combinando estas dos características, el malware puede responder eficazmente con un mensaje personalizado a cualquier mensaje de WhatsApp que llega al dispositivo”, dijo Stefanko. Luego, el malware se ejecuta en segundo plano hasta que obtiene una respuesta del servidor mientras espera un mensaje de notificación de WhatsApp que luego utiliza para distribuir el enlace malicioso a los contactos de la víctima.

La aplicación maliciosa también solicita otros permisos, incluso para “dibujar sobre otras aplicaciones”, lo que le permite superponerse sobre cualquier otra aplicación que se esté corriendo en el dispositivo, e ignorar la optimización de la batería, logrando así ejecutarse en segundo plano y evitar que el sistema finalice el proceso, incluso si empieza a consumir la batería y los recursos del dispositivo.

“El malware con características de gusano se propaga a través de mensajes a los contactos de WhatsApp solo cuando pasó más de una hora desde el envío del último mensaje que recibió la víctima”, explicó Stefanko, agregando que cree que esto se hace para no levantar sospechas entre los contactos de la víctima, ya que recibir un enlace como respuesta a cada mensaje podría hacer sonar las alarmas.

Actualmente, la aplicación parece usarse principalmente en una campaña de adware o de estafa de suscripción, aunque podría usarse para hacer un daño mayor. “Este malware posiblemente podría distribuir amenazas más peligrosas ya que el texto del mensaje y el enlace a la aplicación maliciosa se reciben del servidor del atacante. Simplemente podría distribuir troyanos bancarios, ransomware o spyware”, dijo Stefanko.

Para protegerse, los mejores consejos son: evitar hacer clic en enlaces sospechosos, descargar aplicaciones solo de Google Play y utilizar una solución de seguridad confiable.

Fuente: www.welivesecurity.com