Noticias

Un keygen generoso

Por desgracia, es común encontrar en Internet aplicaciones para validar de forma ilegítima los programas comerciales. Esto captó la atención de escritores de virus, que prepararon un par de sorpresas para quienes quieren recibir un regalito de vez en cuando.

Hace poco detectamos un Trojan dropper que se hace pasar por un generador de claves (keygen) para productos Kaspersky Lab. El nombre del archivo es kaspersky.exe.

Cuando se lo ejecuta, el archivo muestra la ventana del keygen, que pide al usuario que seleccione un producto. El programa genera una clave cuando el usuario escoge una de las opciones.

Ventana del keygen

Mientras el usuario espera los resultados, el dropper instala y ejecuta otros dos programas maliciosos que toman control del ordenador.

Kaspersky Lab detecta a uno de ellos como Trojan.MSIL.Agent.aor. Esta amenaza roba los datos de registro y contraseñas a otros programas, en especial los que sirven para ingresar a juegos en línea. Después almacena todos los datos robados en un archivo. La captura de pantalla de abajo muestra un fragmento del archivo.

Fragmento de un archivo lleno con datos de registro para un programa específico

El troyano también modifica el archivo del sistema “hosts” para bloquear el acceso a varios sitios web. Por ejemplo, se bloquea el acceso a sitios web como virustotal.com y virusscan.jotti.org, que ofrecen analizar archivos con muchos programas antivirus a la vez.

Fragmento de un archivo host modificado:

##No toques este archivo, cualquier alteración causará GRAVES daños a tu ordenador
127.0.0.1 virustotal.com
127.0.0.1 www.virustotal.com
127.0.0.1 www.virusscan.jotti.org/
127.0.0.1 www.virusscan.jotti.org/en
127.0.0.1 www.virusscan.jotti.org/en

El segundo programa que instala el dropper es una típica puerta trasera con funcionalidades de keylogger, que captura y registra las teclas que pulsa el usuario. La detectamos como Trojan.Win32.Liac.gfu.

Así, al ejecutar el supuesto keygen para Kaspersky Internet Security infectarás tu ordenador con un par de programas maliciosos muy dañinos, a los que KIS tendrá que combatir. Esto si las claves que genera el “keygen” funcionan, claro.

Un keygen generoso

Su dirección de correo electrónico no será publicada.

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada