Skip to main content

Un nuevo "malware" evade la mayoría de los antivirus

Trojan
(Image credit: Iaremenko Sergii / Shutterstock)

Hay un nuevo JavaScript circulando que no sólo distribuye ocho troyanos de acceso remoto (RAT en sus siglas en inglés), registradores de pulsaciones de teclado y ladrones de información, sino que además es capaz de evitar la detección de la mayoría de las herramientas de ciberseguridad.

Según los investigadores de HP Wolf Security — que bautizaron el malware como RATDispenser — los descargadores de JavaScript suelen tener un índice de detección más bajo que otros ficheros descargadles pero este malware en particular es mucho más peligroso, ya que emplea varias técnicas para evadir la detección.

"Es particularmente preocupante que RATDispenser sólo es detectado por alrededor del 11% de los sistemas antivirus, lo que hace que este sigiloso código se despliegue con éxito en los [dispositivos] de las víctimas en la mayoría de los casos", apunta el analista de malware de HP Patrick Schlapfer.

TechRadar needs you!

Estamos estudiando cómo nuestros lectores usan VPN con sitios de streaming como Netflix para así poder mejorar nuestro contenido y ofrecer mejores consejos. Esta encuesta no te llevará más de 60 segundos de tu tiempo, y te agradeceremos enormemente que compartas tus experiencias con nosotros.

>> Pulsa aquí para comenzar la encuesta en une nueva ventana <<

Schlapfer afirma que las RAT y los keyloggers (registradores de pulsaciones de teclado) ayudan a los atacantes a obtener un acceso a los PCs infectados. A continuación, los criminales suelen utilizar este acceso para cambiar las credenciales de las cuentas de usuario y, cada vez más, acceder a los monederos de criptomonedas. También pueden vender el acceso a tus datos a los operadores de de ransomware para que te pidan rescate.

Ratatouille

Los investigadores señalan que la cadena de infección comienza cuando recibes un correo electrónico con un JavaScript malicioso oculto. Cuando se ejecuta, el escribe un archivo VBScript, que a su vez descarga la carga del malware, antes de borrarse a sí mismo sin dejar rastro.

Una investigación más detallada revela que hay al menos tres variantes diferentes de RATDispenser que han estado activas en los últimos tres meses, con un total de 155 muestras. Aunque la mayoría de estas muestras eran "droppers", diez eran descargadores que se comunicaban a través de la red para obtener más malware.

"La variedad de familias de malware, muchas de las cuales pueden alquilarse o descargarse libremente en mercados clandestinos, y la preferencia de los operadores de malware por dejar caer sus cargas útiles, sugieren que los autores de RATDispenser pueden estar operando bajo un modelo de negocio de malware como servicio", creen en HP Wolf.

Mayank Sharma

With almost two decades of writing and reporting on Linux, Mayank Sharma would like everyone to think he’s TechRadar Pro’s expert on the topic. Of course, he’s just as interested in other computing topics, particularly cybersecurity, cloud, containers, and coding.