El enemigo invisible
Problemas de conexión a Internet, caídas inexplicables del rendimiento o que el servidor de correo electrónico está en una lista negra: desde el cuarto trimestre de 2020, cada vez son más los casos en los que usuarios alemanes de ordenadores con Windows denuncian anomalías inespecíficas. Gootkit, un conocido troyano bancario, ha vuelto y se dirige especialmente a los usuarios alemanes.
En la mayoría de los casos, las víctimas no se dan cuenta de que sus ordenadores han sido comprometidos hasta que, en el mejor de los casos, reciben un mensaje a través de su proveedor de servicios de Internet en el que se les informa de que uno de sus dispositivos se está comunicando con una botnet. Las comprobaciones posteriores realizadas por el usuario mediante programas antivirus no suelen mostrar ninguna infección, por lo que la perplejidad es grande.
Gootkit es un troyano bancario conocido desde 2014. Tiene numerosas funciones maliciosas para robar información de los ordenadores de sus víctimas. Entre ellas se incluye una funcionalidad de keylogger, así como la capacidad de grabar vídeo de la pantalla o acceso remoto para los atacantes.
En algunos casos, se establecieron además esquemas de reenvío no deseados en las bandejas de entrada de correo electrónico para vaciarlas para posteriores campañas de phishing, por ejemplo. Tras una pausa de un año, este troyano ha vuelto con un nuevo disfraz.
El desarrollo posterior de este troyano permite una existencia sin archivos en el ordenador de la víctima después de ganar persistencia. Por lo tanto, no está presente como un archivo independiente en el disco duro, sino que sólo actúa en la memoria principal. Con el fin de sobrevivir a un reinicio del ordenador, su código ofuscado se encuentra en diferentes claves de la base de datos del registro de Windows. De este modo, el troyano consigue ocultarse con éxito de algunas soluciones de prevención de intrusiones y programas antivirus.
En la actual oleada de amenazas, los delincuentes están abusando de servidores web de terceros con vulnerabilidades de seguridad para mostrar a los visitantes potenciales mensajes falsos de foros específicamente adaptados a sus intereses utilizando el envenenamiento SEO. Esto tiene el efecto de que durante una búsqueda en Internet, especialmente de plantillas y patrones, la víctima se encuentra con un mensaje de foro creado dinámicamente que parece útil y que contiene un archivo con la plantilla adecuada para descargar. Aquí, uno puede notar que este archivo lleva los términos de búsqueda de la víctima en el nombre del archivo con el fin de sonar atractivo y poco sospechoso.
Piensa activamente
Si este archivo se descarga y luego se ejecuta, la infección sigue su curso. El programa JavaScript contenido en el archivo establece una conexión inadvertida con su servidor de mando y control y descarga otro script que contiene el malware real. En la mayoría de los casos, se trata de la variante sin archivos del troyano Gootkit.
Sin embargo, en algunos casos se ha observado la distribución de una variante del ransomware REvil, que tampoco tiene archivos. REvil, también conocido como Sodinokibi, se distribuye como ransomware como servicio (RaaS) y pertenece al grupo de troyanos encriptadores con extorsión adicional mediante filtración y publicación de datos.
Si un ordenador ha sido infectado por un malware sin archivos de este tipo, se debe buscar ayuda profesional de inmediato para evaluar el alcance de los daños y los efectos del malware. Sólo así se podrán aplicar posteriormente las medidas adecuadas para su limpieza.
Para evitar que se produzca una infección en primer lugar, el usuario debe pensar activamente. ¿Puede determinarse sin lugar a dudas el origen y la verosimilitud de un archivo adjunto a un correo electrónico o de una descarga? Si no está seguro, la regla general es: ¡Aleje el puntero del ratón del archivo!