La plataforma global e independiente para la comunidad SAP.

El enemigo invisible

Los ciberdelincuentes están encontrando nuevas formas de obtener datos sensibles de sus víctimas, sin ser detectados, mediante malware sin archivos. CERT-Bund y numerosos investigadores de seguridad advierten contra estos ataques.
Silvana Rößler
8 abril 2021
seguridad informática Header
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Problemas de conexión a Internet, caídas inexplicables del rendimiento o que el servidor de correo electrónico está en una lista negra: desde el cuarto trimestre de 2020, cada vez son más los casos en los que usuarios alemanes de ordenadores con Windows denuncian anomalías inespecíficas. Gootkit, un conocido troyano bancario, ha vuelto y se dirige especialmente a los usuarios alemanes.

En la mayoría de los casos, las víctimas no se dan cuenta de que sus ordenadores han sido comprometidos hasta que, en el mejor de los casos, reciben un mensaje a través de su proveedor de servicios de Internet en el que se les informa de que uno de sus dispositivos se está comunicando con una botnet. Las comprobaciones posteriores realizadas por el usuario mediante programas antivirus no suelen mostrar ninguna infección, por lo que la perplejidad es grande.

Gootkit es un troyano bancario conocido desde 2014. Tiene numerosas funciones maliciosas para robar información de los ordenadores de sus víctimas. Entre ellas se incluye una funcionalidad de keylogger, así como la capacidad de grabar vídeo de la pantalla o acceso remoto para los atacantes.

En algunos casos, se establecieron además esquemas de reenvío no deseados en las bandejas de entrada de correo electrónico para vaciarlas para posteriores campañas de phishing, por ejemplo. Tras una pausa de un año, este troyano ha vuelto con un nuevo disfraz.

El desarrollo posterior de este troyano permite una existencia sin archivos en el ordenador de la víctima después de ganar persistencia. Por lo tanto, no está presente como un archivo independiente en el disco duro, sino que sólo actúa en la memoria principal. Con el fin de sobrevivir a un reinicio del ordenador, su código ofuscado se encuentra en diferentes claves de la base de datos del registro de Windows. De este modo, el troyano consigue ocultarse con éxito de algunas soluciones de prevención de intrusiones y programas antivirus.

En la actual oleada de amenazas, los delincuentes están abusando de servidores web de terceros con vulnerabilidades de seguridad para mostrar a los visitantes potenciales mensajes falsos de foros específicamente adaptados a sus intereses utilizando el envenenamiento SEO. Esto tiene el efecto de que durante una búsqueda en Internet, especialmente de plantillas y patrones, la víctima se encuentra con un mensaje de foro creado dinámicamente que parece útil y que contiene un archivo con la plantilla adecuada para descargar. Aquí, uno puede notar que este archivo lleva los términos de búsqueda de la víctima en el nombre del archivo con el fin de sonar atractivo y poco sospechoso.

Piensa activamente

Si este archivo se descarga y luego se ejecuta, la infección sigue su curso. El programa JavaScript contenido en el archivo establece una conexión inadvertida con su servidor de mando y control y descarga otro script que contiene el malware real. En la mayoría de los casos, se trata de la variante sin archivos del troyano Gootkit.

Sin embargo, en algunos casos se ha observado la distribución de una variante del ransomware REvil, que tampoco tiene archivos. REvil, también conocido como Sodinokibi, se distribuye como ransomware como servicio (RaaS) y pertenece al grupo de troyanos encriptadores con extorsión adicional mediante filtración y publicación de datos.

Si un ordenador ha sido infectado por un malware sin archivos de este tipo, se debe buscar ayuda profesional de inmediato para evaluar el alcance de los daños y los efectos del malware. Sólo así se podrán aplicar posteriormente las medidas adecuadas para su limpieza.

Para evitar que se produzca una infección en primer lugar, el usuario debe pensar activamente. ¿Puede determinarse sin lugar a dudas el origen y la verosimilitud de un archivo adjunto a un correo electrónico o de una descarga? Si no está seguro, la regla general es: ¡Aleje el puntero del ratón del archivo!

networker-solutionsCI-Banner.jpg
avatar
Silvana Rößler

Jefe de Respuesta a Incidentes de Seguridad en Networker, Soluciones


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 24 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.