El proveedor de soluciones de seguridad, ESET, ha alertado de una serie de campañas de propagación de amenazas de malware en España y Portugal. Se han difundido principalmente por correo electrónico y están escritas en el lenguaje .Net de Microsoft.
Durante las últimas semanas de agosto, el proveedor ha venido observando un fuerte incremento de detecciones de varias familias de malware en España y Portugal, que tienen la particularidad de que todas tienen su código ofuscado y se encuentran escritas en el .Net de Microsoft. Por este motivo, las soluciones de seguridad de ESET las catalogan como MSIL/GenKryptik, englobando así las diferentes familias y facilitando su detección aunque existan diversas variantes utilizadas por los delincuentes en una o varias campañas durante las últimas semanas.
Los investigadores han localizado un incremento muy importante de esta familia durante las últimas dos semanas de agosto, especialmente en la semana del 19 al 23 de agosto.
Ese incremento es incluso más elevado en el caso de Portugal, produciéndose justo nada más terminar la campaña de propagación en España a partir del 25 de agosto, aunque con menor duración. Además, en el caso de Portugal vemos como a mediados de agosto ya se produjo un aumento en el porcentaje de detecciones relacionadas con estas familias de malware.
Malware en España y Portugal
Entre las familias de malware que se han detectado ESET ha encontrado dos viejos conocidos como son el keylogger HawkEye y la herramienta de control remoto Quasar. La presencia de estos códigos maliciosos en esta campaña les lleva a pensar que el principal objetivo de los atacantes es la recopilación de información confidencial de la víctima, ya que entre sus capacidades destacan:
- Recopilación de información del sistema.
- Capacidad para grabar lo que se muestra en pantalla, tanto en formato vídeo como mediante capturas de pantalla.
- Robo de credenciales de aplicaciones muy extendidas como: Mozilla Firefox, WinSCP, FileZilla o los navegadores Yandex y Opera.
- Recopilación de cookies y claves privadas
- Obtención de persistencia mediante la modificación de entradas en el Registro del sistema y el Programador de tareas de Windows.
En cuanto al vector de infección utilizado por los atacantes para conseguir nuevas víctimas, no hay sorpresas, ya que el correo electrónico es el medio preferente para propagar ficheros adjuntos en emails con diferentes asuntos. Ya sea en la forma de un supuesto currículum, de una factura o de un recibo de banco, estos cebos son utilizados para engañar a las víctimas y convencerlos para que abrieran los adjuntos maliciosos.
ESET recomienda instalar soluciones de seguridad en los sistemas y sobretodo emplear otro gran arma, el sentido común, evitando abrir correos no solicitados y los adjuntos que suelen incluirse. Vía | ESET
Fuente:https://www.muyseguridad.net