¡Vd. usa un navegador obsoleto!
Es posible que la página no se visualice correctamente.
28 de abril de 2017
En abril tuvieron lugar muchos eventos vinculados con la seguridad informática. A principios del mes, los ciberdelincuentes organizaron un envío nocivo para difundir un troyano multicomponente. Sirve para robar la información confidencial desde el equipo infectado. A mediados de abril, los expertos de Doctor Web investigaron un esquema fraudulento donde los malintencionados usaron un programa nocivo para engañar a usuarios. A finales del mes, se detectó una vulnerabilidad en el software Microsoft Office y se detectó la difusión del troyano que robaba contraseñas desde el equipo infectado.
Un troyano multifuncional llamado Trojan.MulDrop7.24844 se difundía como un adjunto archivado en mensajes del correo electrónico.
El archivo contiene un contenedor comprimido creado usando las posibilidades del lenguaje Autoit. Un componente que Trojan.MulDrop7.24844 inicia en el equipo infectado es la aplicación para la administración remota detectada por el Antivirus Dr.Web como Program.RemoteAdmin.753. Además, el troyano guarda en la unidad dos aplicaciones más que son versiones de 32- y 64-bits de la utilidad Mimikatz. Sirve para interceptar las contraseñas de sesiones abiertas en Windows. Trojan.MulDrop7.24844 activa un keylogger que guarda en el archivo la información sobre las teclas pulsadas por el usuario y realiza otras funciones establecidas por la opción asignada al activar el mismo. El troyano les abre el acceso remoto por protocolo RDP (Remote Desktop Protocol) a los malintencionados para que los mismos puedan administrar el equipo infectado. Para más información sobre este programa nocivo, consulte el artículo publicado en el sitio web de la empresa Doctor Web.
En abril, el servicio de soporte técnico de la empresa Doctor Web con mayor frecuencia fue contactado por los usuarios víctimas de las siguientes modificaciones de troyanos cifradores:
No hay esta funcionalidad en la licencia Antivirus Dr.Web para Windows.
Protección de datos contra la pérdida | |
---|---|
![]() | ![]() |
En abril del año 2017 a la base de sitios web no recomendados y nocivos se añadieron 568 903 direcciones en Internet.
Marzo 2017 | Abril 2017 | Dinámica |
+ 223 173 | + 568 903 | + 154.91% |
A finales de abril, la empresa Doctor Web informó sobre un esquema fraudulento usado desde hace poco por los estafadores de red que se dedican a los partidos fraudulentos.
Normalmente los malintencionados venden la información falsa sobre los resultados de futuras competiciones a los usuarios inocentes, usando la cual supuestamente se puede apostar para ganar en casas de apuestas. Ahora los ciberdelincuentes le ofrecen a la víctima potencial descargar un archivo RAR de autodescompresión protegido por la contraseña que contiene un archivo de texto con resultados de un partido. La contraseña para el archivo los delincuentes la envían una vez finalizada la competición – así la víctima potencial podrá asegurarse de la calidad del pronóstico. Pero en vez del archivo, recibe un programa creado por los malintencionados que imita completamente la interfaz y el comportamiento del archivo SFX creado con la aplicación WinRAR. Este “archivo” falsificado contiene una plantilla del archivo de texto adonde usando un algoritmo especial se insertan los resultados necesarios del partido en función de la contraseña introducida por el usuario. El programa fue añadido a las bases de virus Dr.Web bajo el nombre Trojan.Fraudster.2986, y las direcciones de las páginas web que la difunden – a las bases de sitios web no recomendados.
Conozca más sobre los sitios web no recomendados por Dr.WebA finales de abril fue detectado la difusión del programa nocivo Trojan.DownLoader23.60762, destinado para robar las contraseñas de navegadores populares y descargar varios archivos sin autorización. En el equipo infectado el troyano se incrusta en los procesos de navegadores e intercepta las funciones responsables del trabajo con la red. Puede ejecutar los comandos siguientes:
Para más información sobre este programa nocivo, consulte el material publicado en nuestro sitio web.
Así mismo, en abril fue detectada una vulnerabilidad en el editor de textos Word que forma parte del paquete Microsoft Office. Los malintencionados crearon un exploit Exploit.Ole2link.1 para esta vulnerabilidad. El exploit fue realizado como un documento Microsoft Word con extensión .docx. Al intentar abrir este documento, se carga otro archivo llamado doc.doc que contiene un script HTA incrustado detectado por Dr.Web como PowerShell.DownLoader.72. Este script HTA creado con sintaxis Windows Script inicia el interpretador de comandos PowerShell. En el mismo se procesa otro script nocivo que descarga el archivo ejecutable en el equipo atacado. Para más información sobre la vulnerabilidad, consulte el artículo informativo correspondiente.
Durante el mes pasado los expertos de la empresa Doctor Web detectaron 1 317 388 ataques a varios dispositivos Linux, de ellos 147 401 se realizaron por protocolo SSH y 1 169 987— por protocolo Telnet. La proporción de los programas nocivos que los ciberdelincuentes descargaban en dispositivos atacados puede consultarse en el diagrama siguiente:
En abril los analistas de virus de la empresa Doctor Web investigaron la versión actualizada del programa nocivo de la familia Linux.UbntFM, llamado Linux.UbntFM.2. Este troyano fue desarrollado por los creadores de virus para sistemas operativos de la familia Linux, entre ellos, Air OS, producida por Ubiquiti Networks que lo instala en sus dispositivos. Fue realizado en scritps bash que se difunden en el archivo tgz.
Linux.UbntFM.2 crea las nuevas cuentas en el dispositivo infectado y, así mismo, puede descargar e iniciar archivos aleatorios. Además, el troyano sabe atacar los dispositivos remotos usando la vulnerabilidad en la interfaz web Air OS que permite cargar un archivo aleatorio por ruta aleatoria sin autenticarse. Si el troyano no logra instalar el protocolo (o si en el equipo atacado no está instalado Air OS), puede intentar averiguar las cuentas para la conexión SSH usando un diccionario y los nombres de usuario "root", "admin", "ubnt" con las contraseñas que se guardan en el archivo "passlst". Para más información sobre las bases de funcionamiento de este programa nocivo, consulte la descripción técnica.
Además, en abril fue detectada la nueva versión del troyano de la familia Fgt — Linux.BackDoor.Fgt.645. Esta modificación del programa nocivo, a diferencia de sus antecesores, tiene un conjunto de funciones limitado (entre los cuales solo queda un módulo para hackear los abonados remotos y un dropper), así mismo, la nueva versión ahora tiene posibilidad de enviar solicitudes para descargar e iniciar el script sh.
En abril a la base de virus Dr.Web fue añadido un nuevo troyano espía llamado Android.Chrysaor.1.origin. Los creadores de virus podían usarlo para ataques objetivo para robar la información confidencial a los usuarios de dispositivos móviles bajo la administración del SO Android. Así mismo, el mes pasado, en el catálogo Google Play se detectaron varios troyanos bancarios a la vez. Uno de ellos fue llamado Android.BankBot.179.origin. Se propagaba como si fuera un programa para ver vídeos en línea que en realidad realizaban la función declarada. Otro banker Android detectado en Google Play fue añadido a la base de virus como Android.BankBot.180.origin. Era un programa linterna.
Los eventos más desacatados vinculados a la seguridad “móvil” en abril:
Para más información sobre virus para dispositivos móviles en abril, consulte nuestro informe.
Estadísticas de virus Biblioteca de descripciones Todos los informes de virus