Un operativo internacional que movilizó a más de una decena de países, en su mayoría europeos, llevó al desmantelamiento de FluBot, uno de los programas maliciosos que más rápido se propagan hasta la fecha en los móviles de Android y que infecta el teléfono a través de SMS falsos para robar contraseñas y datos personales.
Se han desconectado a diez mil víctimas de la red FluBot y evitado el envió de más de 6 500 000 mensajes de texto no deseados.
FluBot fue descubierto por primera vez en diciembre de 2020, ganando fuerza en 2021, y que se ha estado propagando de forma agresiva a través de SMS, robando contraseñas, datos bancarios en línea, y otra información confidencial de los teléfonos inteligentes (smartphones) infectados con el programa.
Las víctimas que usaban teléfonos con un sistema operativo Android de Google recibían un SMS que pedía a los usuarios pinchar en un enlace e instalar una aplicación para monitorear la entrega de un paquete o escuchar falsos mensajes de voz, explicó un portavoz de la AFP a Europol.
El malware se instalaba a través de mensajes SMS falsos. Estos pedían a los usuarios instalar una aplicación o escuchar un mensaje de voz falso. Una vez instalada la app, que en realidad era Flubot, se solicitaban permisos de accesibilidad. En caso de obtenerlos, los ciberdelincuentes podían acceder a todo tipo de información ya que es como si estuvieran viendo la pantalla del móvil a distancia y recibiendo todas las pulsaciones que hiciéramos.
FluBot en España
En España este malware tuvo su apogeo de infecciones durante el mes de marzo de 2021. Una estafa con la que se estimó que había capturado más de 11 millones de números de teléfono, solo en España. Esto es, un 25% de la población española.
Los investigadores de PRODAFT dijeron anteriormente que el acceso a los contactos de un usuario permitió al grupo recopilar más de 11 millones de números de teléfono en España, lo que representa alrededor del 25% de la población. Si no se tomaba ninguna medida, teorizaron que el grupo detrás de FluBot podría recopilar todos los números de teléfono en España en 6 meses.
Este malware comprometió “una gran cantidad de dispositivos” en todo el mundo, incluidos incidentes significativos en España y Finlandia, debido, entre otras cosas, a su capacidad para acceder a los contactos de un teléfono inteligente infectado, según Europol.
La infraestructura ha sido desmantelada a principios de mayo por la policía neerlandesa, lo que dejó inactivado este programa que se instala a través de un mensaje de texto que pedía a los usuarios que hicieran clic en un enlace e instalaran una aplicación para rastrear la entrega de un paquete o escuchar un mensaje de voz falso.
Una vez instalada la aplicación en cuestión, solicitaría permisos de accesibilidad y los piratas informáticos usarían este acceso para robar credenciales de aplicaciones bancarias o detalles de cuentas de criptomonedas y deshabilitar los mecanismos de seguridad integrados.
Entre los consejos de Europol para detectar si una aplicación puede tratarse de un programa malicioso, incluye tocar una aplicación para asegurarse de que se abre como tal, o intentar desinstalarla para asegurarse de que no aparece un “mensaje de error”.
“Si cree que una aplicación puede ser un programa malicioso, restablezca el teléfono a la configuración de fábrica”, indican.
Los países implicados en la investigación fueron Australia, Bélgica, Finlandia, Hungría, Irlanda, Rumanía, España, Suecia, Suiza y los Países Bajos, así como el servicio secreto de Estados Unidos, coordinados por el Centro de Ciberdelincuencia de Europol.
La investigación continúa, ya que está pendiente de analizar quienes estaban detrás y quién se ha beneficiado de una campaña de malware a nivel global, aunque varios miembros de la banda de Flubot fueron arrestados en Barcelona el pasado marzo.
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
A nadie le gusta los siguientes escenarios, pero lamentablemente, a cualquiera podría sucederle en cualquier momento. Imagínate que estás trabajando en un proyecto importante y de repente empiezas a ver molestas ventanas emergentes en tu computadora. ¿Ó que tal cuando nos da uno de esos “ataques de desesperación” por archivos o aplicaciones que tardan demasiado en cargarse? Sigues esperando hasta que empiezas a preguntarte: “¿Mi computadora está infectada con malware?”
Desafortunadamente, la respuesta podría ser “sí” y su PC ya podría estar infectada con un virus o malware de próxima generación que está alentando o perjudicando su rendimiento.
Esta es una de las muchas señales de advertencia que muestran que su PC podría sufrir una infección de malware. Pero hay mucho más que debe conocer y comprender, para que pueda tomar medidas rápidamente.
En este artículo, le mostraremos las señales de advertencia más frecuentes de infección de malware en computadoras que ejecutan Microsoft Windows y qué puede hacer al respecto.
Primero recomiendo conocer por lo menos las bases de malware, virus etc. Si sabemos como funciona, podemos también aprender a evitarlos o desinfectarlos.
Tipos de virus informáticos
Según la empresa de seguridad cibernética Kaspersky, las cosas que no desea en su computadora incluyen virus y todo tipo de malware y spyware. Estas son algunas amenazas comunes:
Virus diseñados para atacar su sistema: Se propagan de máquina a máquina a través de enlaces compartidos y archivos cargados y descargados. Las personas difunden estos programas cuando vinculan y comparten sin cuidado y no utilizan la protección antivirus adecuada.
Gusanos (Worms): Son similares a los virus. Estos programas no necesitan la ayuda de la gente para difundirse. Están programados para moverse a través de redes informáticas por su cuenta. En si están hechos para propagarse para crear daño a archivos o saturar por completo un disco duro, almacenamiento etc.
Troyanos / Trojans: En resumen, este es un malware que se oculta detrás de otro programa, imagina que descargas un programa para escuchar música pero este está infectado con un troyano, es decir tiene un virus oculto que al ejecutar el programa descargado ( en este caso de ejemplo un programa para escuchar música ) este troyano será ejecutado también. El troyano genera una clase de backdoor o puerta trasera que permite al hacker o atacante obtener acceso al dispositivo puede borrar información, copiarla, o descargarle nueva. Puede tomar screenshots, activar keyloggers etc. Sus funciones varían bastantes. A diferencia de los virus y los gusanos informáticos, los troyanos no pueden multiplicarse.
Adware, spyware: Estos programas están diseñados para rastrear lo que hace en línea, recopilar datos privados, a veces bancarios y toda información personal sobre usted o de su equipo, dispositivo etc.
Ransomware: Este tipo de malware esta diseñado para encriptar 1 solo archivo privado o de mucha importancia, hasta todos los archivos o un dispositivo por completo. El objetivo de este malware este mantener como rehen tu equipo hasta que pagues cierta cantidad de criptomonedas para obtener una llave de desencriptación y volver tener acceso a los archivos, dispositivo(s) etc.
Los cuadros de diálogo y ventanas inesperados o inusuales pueden ser una mala señal. Las advertencias de virus falsas dicen que tiene amenazas de seguridad en su computadora y, por lo general, le piden que haga clic en un enlace o que llame a un número.
El software de protección legítimo, como Windows Defender y varios programas de detección de virus, nunca le pedirá que llame a un número de atención al cliente aleatorio.
2. Sonidos aleatorios
Las computadoras infectadas a menudo están programadas para responder con una señal de audio a cosas que no puedes controlar.
Pueden ser como ” pitidos de advertencia” .
Si escucha regularmente campanillas y campanas de su computadora que parecen ser fantasmas, su computadora puede tener un virus o malware.
3. Cambios inexplicables de archivos o carpetas
Cambios repentinos en nombres carpetas o archivos
4. Operación lenta
Es posible que falten sus archivos o que los íconos y el contenido de sus archivos sean diferentes. Su computadora no hará este tipo de cambios en sus archivos a menos que tenga un virus o un problema técnico.
Preste atención a si su computadora está funcionando más lentamente de lo normal.
Hay mlwares que pondran cosas en tu computadora para luego influir, persistir o casi forzar a que descargues o incluso compres cierto software que promete mejor rendimiento o limpiarte tu pc de virus pero ha sido el malware que ha influido en todo esto.
5. Conexiones aleatorias a sitios web desconocidos
En general, su computadora no hace sus propias conexiones; alguien tiene que iniciarlos. Si no inició estas conexiones, el software problemático podría estar haciéndolo por usted. Para detectar esto necesita uno saber un poco mas sobre redes y comandos como netstat o saber leer wireshark. Uno si sabe de esto puede descubrir o dar con puertos, conexiones abiertas de malware (s).
6. Imágenes inesperadas
Es posible que vea aparecer imágenes pornográficas o reemplazar imágenes benignas, como fotos en sitios de noticias. Una señal relacionada de que su computadora está infectada es la aparición constante de anuncios emergentes de sitios que normalmente no visita.
Otro signo de infección es cuando su software antivirus legítimo le advierte que una aplicación está intentando conectarse a un sitio web del que nunca ha oído hablar.
7. Incapacidad para descargar programas antivirus o actualizaciones
Los virus informáticos no son seres vivos, pero algunos están programados para tener un instinto de conservación. Para el usuario promedio de computadoras, la forma número 1 de matar un virus es a través de un escaneo con un software antivirus. Si tiene problemas para descargar e instalar el software, o si no puede actualizar su programa actual, es posible que se deba al diseño del virus. Aunque esto puede ser una molestia, algunas soluciones de software antivirus pueden crear discos de rescate para escanear y limpiar una PC infectada.
8. Spam enviado desde su dirección de correo electrónico o redes sociales
El malware puede funcionar de muchas maneras diferentes. Un método que se ha vuelto más común con la proliferación de mensajes de correo electrónico y redes sociales es una marca de malware que envía mensajes aleatorios a su lista de contactos. Este tipo de infección se propaga por Internet engañando a las personas para que hagan clic en un enlace infectado. Luego, el enlace propaga el malware a esa persona, quien, sin darse cuenta, lo propaga a través de su lista de amigos. Al cerrar sesión en sus cuentas, crear nuevas contraseñas seguras e implementar medidas de seguridad como la autenticación de dos factores, puede frustrar cualquier intrusión adicional.
9. Falta repentina de espacio en el disco duro
¿Te has quedado sin espacio en tu disco duro de repente? Los virus o gusanos autorreplicantes, a menudo llamados “bombas de disco”, pueden causar todo tipo de estragos en un sistema informático llenando rápidamente los discos duros con copias de sí mismos. En muchos casos, los archivos que inyecta en un disco duro son invisibles en la configuración predeterminada de exploración de archivos.
10. Procesos en ejecución extraños
Si eres un poco más experto en tecnología que el usuario promedio, es probable que conozcas el Administrador de tareas de Windows. De vez en cuando, si su computadora está actuando de manera extraña o no funciona tan bien como esperaba, es posible que le convenga verificar el Administrador de tareas de Windows en busca de procesos no autorizados que se estén ejecutando en segundo plano. Si el nombre de un proceso se parece mucho a un proceso legítimo de Windows pero no cuadra, es posible que esté infectado.
10 sencillos pasos para limpiar su computadora con virus
1. Primero, lo mas recomendable es usar protección: ingrese al modo seguro.
Retire los CD y DVD y desconecte las unidades USB de su computadora. * (lo ideal solo mouse, teclado,monitor) Luego apaga. Cuando reinicie, presione la tecla F8 repetidamente. Esto debería mostrar el menú Opciones de arranque avanzadas. Seleccione Modo seguro con funciones de red y presione Entrar. En este modo, solo se utilizan los programas y servicios mínimos. Si algún malware está programado para cargarse automáticamente cuando se inicia Windows, ingresar al modo seguro puede bloquear el intento.
2. Haga una copia de seguridad de sus archivos.
Esto incluye documentos, fotos y videos. Especialmente videos de gatos. No haga una copia de seguridad de los archivos del programa, ya que es ahí donde se esconden las infecciones. Siempre puede descargar estos programas nuevamente si se pierden los archivos.
Si no tuvo problemas para conectarse a Internet antes de sospechar la infección, puede salir del modo seguro después de haber realizado una copia de seguridad de sus archivos y volver a usar su sistema “normal”.
Si su Internet se atascó debido a una sospecha de infección, intente usar la computadora de un amigo para descargar su escáner y moverlo a su máquina usando una unidad USB. Siga las instrucciones de configuración e instale el programa.
4. Ejecute el escaneo.
Si realmente cree que está infectado, no pase, no cobre $ 100. Simplemente vaya directamente al escaneo. Si tienes una infección, tu escáner bajo demanda debería hacerte saber que estás en peligro, niña. Una lista de resultados de análisis le indica qué malware se encontró y eliminó. Algunos programas de ciberseguridad también marcan los programas potencialmente no deseados (PUP) y los colocan en la esquina con Baby. Si desea mantener un programa que su escáner de malware considera sospechoso, puede agregarlo a una lista de exclusiones y continuar con su día.
5. Reinicie su computadora.
Después de todo, todos merecen una segunda oportunidad.
6. Confirme los resultados de su análisis antimalware ejecutando un análisis completo con otro programa de detección de malware.
Puede probar un programa como AdwCleaner, que apunta a PUP y adware (esas ventanas emergentes desagradables que ensucian su navegador). Reinicie nuevamente si el programa encontró infecciones adicionales.
7. Actualice su sistema operativo, navegador y aplicaciones.
Si hay una actualización disponible en cualquiera de sus programas, continúe y hágalo. Algunas de las formas más peligrosas de malware se entregan mediante exploits que aprovechan el software desactualizado.
8. Restablezca todas sus contraseñas.
Antes de ser eliminado, el malware podría haber capturado sus contraseñas y reenviarlas a los delincuentes. Cambia todas y cada una de las contraseñas que se te ocurran y asegúrate de que sean seguras. Nada de esto de 1, 2, 3, 4, 5 negocios. Esa es la combinación que un idiota usaría en su equipaje.
9. Si, después de todos estos pasos, todavía tiene problemas con una posible infección, no dude en publicar su pregunta en nuestro foro público.
10.Verificar y Revisar smartphones y tablet: a veces un hackeo o virus de esos dispositivos podría filtrar contraseñas o información sensible o importante. Y si desea que su teléfono Mac, iPhone o Android esté tan brillante y nuevo como su PC después de una limpieza, también puede ejecutar análisis antimalware en estos dispositivos.
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
En 2021, la cantidad de infecciones de malware dirigidas a dispositivos que ejecutan Linux aumentó en un 35 %. En la mayoría de los casos, los ciberdelincuentes piratearon dispositivos IoT para llevar a cabo ataques DDoS.
Según Crowdstrike, XorDDoS, Mirai y Mozi fueron las familias de malware más comunes. Representaron el 22% de todos los ataques de malware dirigidos a sistemas que ejecutan Linux en 2021.
Mozi, en particular, ha mostrado un crecimiento explosivo en su actividad. Durante el año pasado, se identificaron diez veces más muestras que en 2020.
La actividad del malware XorDDoS también aumentó notablemente en comparación con el año pasado, en un 123 %. XorDDoS es un troyano genérico de Linux que funciona en varias arquitecturas de sistemas Linux. Utiliza encriptación XOR para comunicarse con el C&C. Al atacar dispositivos IoT, XorDDoS enumera los dispositivos vulnerables a través del protocolo de red SSH. En máquinas Linux, el malware usa el puerto 2375 para obtener acceso de root al sistema sin contraseña.
Mozi es una red de bots P2P que utiliza un sistema de búsqueda de tablas hash distribuidas (DHT) para ocultar los mensajes C&C sospechosos de las soluciones de seguridad para monitorear el tráfico de la red. Los operadores de botnets explotan constantemente nuevas vulnerabilidades, ampliando el alcance de su aplicación.
Mirai es un malware muy conocido que ha generado muchas variantes nuevas debido a su código fuente disponible públicamente. Las diferentes variantes del malware implementan diferentes protocolos para comunicarse con el servidor de comando y control, pero todos usan credenciales que no son de confianza para los ataques de fuerza bruta. En 2021, los expertos identificaron varias variantes notables de Mirai, como Dark Mirai, que apunta a enrutadores domésticos, y Moobot, que se usa para atacar cámaras de seguridad.
“Algunas de las opciones más comunes incluyen Sora, IZIH9 y Rekai. En comparación con 2020, la cantidad de muestras identificadas para las tres variantes aumentó en un 33 %, 39 % y 83 % respectivamente en 2021”, dijeron los investigadores en el informe.
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
Google dice que los creadores de YouTube han sido blanco demalware que roba contraseñas en ataques de phishing coordinados por actores de amenazas motivados financieramente. Los investigadores del Grupo de Análisis de Amenazas (TAG) de Google, que vieron la campaña por primera vez a fines de 2019, descubrieron que varios actores de piratería contratados reclutados a través de anuncios de trabajo en foros de habla rusa estaban detrás de estos ataques. Los actores de amenazas utilizaron ingeniería social (a través de páginas de destino de software falsas y cuentas de redes sociales) y correos electrónicos de phishing para infectar a los creadores de YouTube con malware que roba información, elegido según las preferencias de cada atacante.
Canales secuestrados en ataques de paso de cookies
El malware observado en los ataques incluye cepas de productos básicos como RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad y Kantal, y de código abierto como Sorano y AdamantiumThief .
Una vez entregado en los sistemas de los objetivos, el malware se utilizó para robar sus credenciales y cookies del navegador, lo que permitió a los atacantes secuestrar las cuentas de las víctimas en ataques de paso de cookies.
«Si bien la técnica ha existido durante décadas , su resurgimiento como un riesgo de seguridad superior podría deberse a una adopción más amplia de la autenticación multifactor (MFA), lo que dificulta la realización de abusos y el cambio de enfoque del atacante a tácticas de ingeniería social», dijo. Ashley Shen, ingeniera de seguridad de TAG.
«La mayor parte del malware observado fue capaz de robar tanto las contraseñas de los usuarios como las cookies. Algunas de las muestras emplearon varias técnicas anti-sandboxing, incluidos archivos ampliados, archivos cifrados y encubrimiento de IP de descarga».
Google identificó al menos 1.011 dominios vinculados a estos ataques y aproximadamente 15.000 cuentas de actores creadas específicamente para esta campaña y utilizadas para enviar correos electrónicos de phishing que contienen enlaces que redireccionan a páginas de destino de malware a los correos electrónicos comerciales de los creadores de YouTube.
Vendido por hasta $ 4,000 en mercados clandestinos
Una cantidad significativa de canales de YouTube secuestrados en estos ataques fueron posteriormente renombrados para hacerse pasar por ejecutivos tecnológicos de alto perfil o firmas de intercambio de criptomonedas y se utilizaron para estafas de criptomonedas de transmisión en vivo.
Otros se vendieron en mercados clandestinos de negociación de cuentas, donde valen entre $ 3 y $ 4,000, dependiendo de su número total de suscriptores.
Shen agregó que el Grupo de Análisis de Amenazas de Google redujo los correos electrónicos de phishing vinculados a estos ataques en Gmail en un 99,6% desde mayo de 2021.
«Bloqueamos 1,6 millones de mensajes dirigidos a objetivos, mostramos ~ 62.000 advertencias de páginas de phishing de Navegación segura, bloqueamos 2,400 archivos y restauramos con éxito ~ cuentas de 4K», dijo Shen. .
«Con mayores esfuerzos de detección, hemos observado que los atacantes se desplazan de Gmail a otros proveedores de correo electrónico (principalmente email.cz, seznam.cz, post.cz y aol.com)».
Google también informó de esta actividad maliciosa al FBI para que se investigue más a fin de proteger a los usuarios y creadores de YouTube a los que se dirige la campaña.
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
Investigadores de ESET descubren FontOnLake, una familia de malware que utiliza herramientas personalizadas y bien diseñadas para atacar sistemas operativos que funcionan bajo Linux. La naturaleza de las herramientas de FontOnLake en combinación con su diseño avanzado y baja prevalencia sugieren que ha sido diseñado para ataques dirigidos
Los investigadores de ESET han descubierto una familia de malware previamente desconocida que utiliza módulos personalizados y bien diseñados para atacar a sistemas que corren Linux. Los módulos utilizados por esta familia de malware, a la cual hemos denominado FontOnLake, están en constante desarrollo y brindan a los operadores acceso remoto, permite recopilar credenciales y sirven como un servidor proxy. En esta publicación, quedan resumidos los hallazgos que explican con más detalle en el whitepaper.
Para recopilar datos (por ejemplo, credenciales ssh) o realizar otra actividad maliciosa, esta familia de malware utiliza binarios legítimos modificados que son ajustados para cargar más componentes. De hecho, para ocultar su existencia, la presencia de FontOnLake siempre va acompañada de un rootkit. Estos binarios como cat, kill o sshd se utilizan comúnmente en sistemas Linux y, además, pueden servir como mecanismo de persistencia.
La naturaleza camaleónica de las herramientas de FontOnLake en combinación con un diseño avanzado y una baja prevalencia sugiere que son utilizadas en ataques dirigidos.
El primer archivo conocido de esta familia de malware apareció en VirusTotal en mayo pasado y se cargaron otras muestras a lo largo del año. La ubicación del servidor C&C y los países desde los que se cargaron las muestras en VirusTotal podrían indicar que sus objetivos incluyen el sudeste asiático.
Se cree que los operadores de FontOnLake son particularmente cautelosos, ya que casi todas las muestras analizadas utilizan servidores C&C únicos con diferentes puertos no estándar. Los autores utilizan principalmente C/C ++ y varias bibliotecas de terceros, como Boost, Poco, o Protobuf. Ninguno de los servidores de C&C utilizados en las muestras cargadas a VirusTotal estaban activos al momento de escribir este artículo, lo que indica que podrían haberse desactivado debido a la carga.
Componentes conocidos de FontOnLake
Los componentes actualmente conocidos de FontOnLake se pueden dividir en tres grupos que interactúan entre sí:
Aplicaciones troyanizadas: binarios legítimos modificados que son utilizados para cargar más componentes, recopilar datos o realizar otras actividades maliciosas.
Backdoors: componentes en modo usuario que funcionan como el punto de comunicación principal para sus operadores.
Rootkits: componentes en modo kernel que en su mayoría ocultan y disfrazan su presencia, ayudan con las actualizaciones o proporcionan backdoors de respaldo.
Aplicaciones troyanizadas
Descubren múltiples aplicaciones troyanizadas; se utilizan principalmente para cargar módulos personalizados de backdoor o rootkit. Aparte de eso, también pueden recopilar datos confidenciales. Lo más probable es que los parches de las aplicaciones se apliquen a nivel de código fuente, lo que indica que las aplicaciones deben haber sido compiladas y reemplazadas por las originales.
Todos los archivos troyanizados son utilidades estándar de Linux y cada uno sirve como método de persistencia porque normalmente se ejecutan al iniciar el sistema. Se desconoce la forma en que inicialmente estas aplicaciones troyanizadas llegan a sus víctimas.
La comunicación de una aplicación troyanizada con su rootkit se ejecuta a través de un archivo virtual, el cual es creado y administrado por el rootkit. Como se muestra en la Imagen 1, los datos pueden leerse/escribirse desde/hacia el archivo virtual y exportarse con su componente de backdoor según solicite el operador.
Backdoors
Los tres backdoors diferentes que descubrimos están escritos en C++ y todos usan, aunque de forma ligeramente diferente, la misma biblioteca Asio de Boost para redes asíncronas y entradas/salidas de bajo nivel. También utilizan Poco, Protobuf y funciones de STL como punteros inteligentes. Lo que es raro en el malware es el hecho de que estos backdoors también presentan una serie de patrones de diseño de software.
La funcionalidad que todos tienen en común es que cada uno exfiltra las credenciales recopiladas y su historial de comandos bash a su C&C.
Teniendo en cuenta la superposición de funciones, lo más probable es que estos diferentes backdoors no se utilicen juntos en un sistema comprometido.
Además, todos los backdoors utilizan comandos de heartbeat personalizados que son enviados y recibidos periódicamente para mantener activa la conexión.
La funcionalidad principal de estos backdoors consta de los siguientes métodos:
Exfiltrar los datos recopilados
Crear un puente entre un servidor ssh personalizado que se ejecuta localmente y su C&C
Ejecutar comandos de shell arbitrarios y scripts de Python
Rootkit
Descubrimos dos versiones diferentes del rootkit, utilizadas de a una a la vez, en cada uno de los backdoors. Existen diferencias significativas entre esos dos rootkits, sin embargo, ciertos aspectos de ellos se superponen. Aunque las versiones de rootkit se basan en el proyecto de código abierto suterusu, contienen varias de sus técnicas exclusivas y personalizadas.
La funcionalidad combinada de estas dos versiones del rootkit que descubrimos incluye:
Proceso de ocultación
Ocultación de archivos
Ocultación de sí mismo
Ocultación de conexiones de red
Exposición de las credenciales recopiladas a su backdoor
Reenvío de puertos
Recepción de paquetes mágicos (los paquetes mágicos son paquetes especialmente diseñados que pueden indicar al rootkit que descargue y ejecute otro backdoor)
Tras nuestro descubrimiento y mientras finalizamo el whitepaper sobre este tema, proveedores como Tencent Security Response Center, Avast y Lacework Labs publicaron su investigación sobre lo que parece ser el mismo malware.
Todos los componentes conocidos de FontOnLake son detectados por los productos ESET como Linux/FontOnLake. Las empresas o personas que deseen proteger sus terminales o servidores de Linux de esta amenaza deben utilizar un producto de seguridad de varias capas y una versión actualizada de su distribución de Linux. Algunas de las muestras que hemos analizado fueron creadas específicamente para CentOS y Debian.
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
GriftHorse ha afectado hasta a 10 millones de usuarios en todo el mundo. Las víctimas del troyano están distribuidas en decenas de países, entre ellas España. Tras desaparecer de Google Play, sigue presente en muchos móviles en más de 70 países Las apps con GriftHorse están diseñadas para suscribir a los usuarios de Android a servicios premium sin su consentimiento.
GriftHorse’ es un malware que está de incógnito en aplicaciones como traductores, brújulas, videojuegos e incluso apps de citas
Expertos de la empresa de seguridad Zimperium zLabs descubrieron que un programa malicioso que contienen algunas aplicaciones de Google Play ha infectado a más de 10 millones de teléfonos inteligentes Android en más de 70 países.
Según la investigación, publicada, las apps infectadas por el troyano GriftHorse suscriben a los usuarios a servicios de pago sin que estos se den cuenta. Si el usuario instala una aplicación infectada, GriftHorse comienza a inundar el teléfono con notificaciones de premios. Cuando la persona hace clic en una de estas ventanas emergentes, es dirigido a una página en la que se le pide que confirme su número de teléfono para acceder al premio, pero al hacerlo, en realidad activa un servicio de SMS ‘premium’ con costo mensual.
La campaña es excepcionalmente versátil y se dirige a usuarios de dispositivos móviles de más de 70 países al cambiar el idioma de la aplicación y mostrar el contenido de acuerdo con la dirección IP del usuario actual. Según la información recopilada, GriftHorse ha infectado más de 10 millones de dispositivos de las víctimas en los últimos meses
“Después de ser infectada, la víctima es bombardeada con alertas en la pantalla informándoles que han ganado un premio y necesitan reclamarlo inmediatamente”, explica el reporte. Estas alertas aparecen no menos de cinco veces por hora hasta que el usuario acepte.
30€ al mes por usuario infectado
El grupo de ciberdelincuentes detrás de la campaña GriftHorse ha construido un flujo de efectivo estable de fondos ilícitos de estas víctimas, generando millones en ingresos recurrentes cada mes con la cantidad total robada potencialmente de cientos de millones. A cada una de las víctimas se le cobra más de 30 € al mes, lo que genera pérdidas financieras recurrentes hasta que logran solucionar el problema contactando con su operador SIM.
La campaña se ha desarrollado activamente durante varios meses, a partir de noviembre de 2020, y la última hora actualizada se remonta a abril de 2021. Esto significa que una de sus primeras víctimas, si no ha cerrado la estafa, ha perdido más de 200 €. en el momento de escribir. La pérdida acumulada de víctimas se suma a una ganancia masiva para el grupo ciberdelincuente.
200 aplicaciones disponibles en la Play Store
Los responsables del ataque utilizaron más de 200 aplicaciones maliciosas de distinto tipo e iniciaron su campaña en noviembre de 2020, mientras que su última actualización data de abril de 2021. Tras reportar el descubrimiento a Google, el gigante informático eliminó las apps del catálogo de Google Play Store.
¿Tienes alguna de estas apps? Bórrela de inmediato
Esta es la lista de apps que esconden GriftHorse.
Listado de Aplicaciones
Package Name
App Name
com.tra.nslat.orpro.htp
Handy Translator Pro
com.heartratteandpulsetracker
Heart Rate and Pulse Tracker
com.geospot.location.glt
Geospot: GPS Location Tracker
com.icare.fin.loc
iCare – Find Location
my.chat.translator
My Chat Translator
com.bus.metrolis.s
Bus – Metrolis 2021
com.free.translator.photo.am
Free Translator Photo
com.locker.tul.lt
Locker Tool
com.fin.gerp.rint.fc
Fingerprint Changer
com.coll.rec.ord.er
Call Recoder Pro
instant.speech.translation
Instant Speech Translation
racers.car.driver
Racers Car Driver
slime.simu.lator
Slime Simulator
keyboard.the.mes
Keyboard Themes
whats.me.sticker
What’s Me Sticker
amazing.video.editor
Amazing Video Editor
sa.fe.lock
Safe Lock
heart.rhy.thm
Heart Rhythm
com.sma.spot.loca.tor
Smart Spot Locator
cut.cut.pro
CutCut Pro
com.offroaders.survive
OFFRoaders – Survive
com.phon.fin.by.cl.ap
Phone Finder by Clapping
com.drive.bus.bds
Bus Driving Simulator
com.finger.print.def
Fingerprint Defender
com.lifeel.scanandtest
Lifeel – scan and test
com.la.so.uncher.io
Launcher iOS 15
com.gunt.ycoon.dle
Idle Gun Tycoo\u202an\u202c
com.scan.asdn
Scanner App Scan Docs & Notes
com.chat.trans.alm
Chat Translator All Messengers
com.hunt.contact.ro
Hunt Contact
com.lco.nylco
Icony
horoscope.fortune.com
Horoscope : Fortune
fit.ness.point
Fitness Point
com.qub.la
Qibla AR Pro
com.heartrateandmealtracker
Heart Rate and Meal Tracker
com.mneasytrn.slator
Mine Easy Translator
com.phone.control.blockspamx
PhoneControl Block Spam Calls
com.paral.lax.paper.thre
Parallax paper 3D
com.photo.translator.spt
SnapLens – Photo Translator
com.qibl.apas.dir
Qibla Pass Direction
com.caollerrrex
Caller-x
com.cl.ap
Clap
com.eff.phot.opro
Photo Effect Pro
com.icon.nec.ted.trac.ker
iConnected Tracker
com.smal.lcallrecorder
Smart Call Recorder
com.hor.oscope.pal
Daily Horoscope & Life Palmestry
com.qiblacompasslocatoriqez
Qibla Compass (Kaaba Locator)
com.proo.kie.phot.edtr
Prookie-Cartoon Photo Editor
com.qibla.ultimate.qu
Qibla Ultimate
com.truck.roud.offroad.z
Truck – RoudDrive Offroad
com.gpsphonuetrackerfamilylocator
GPS Phone Tracker – Family Locator
com.call.recorder.cri
Call Recorder iCall
com.pikcho.editor
PikCho Editor app
com.streetprocarsracingss
Street Cars: pro Racing
com.cinema.hall
Cinema Hall: Free HD Movies
com.ivlewepapallr.bkragonucd
Live Wallpaper & Background
com.in1.tel.ligent.trans.lt.pro
Intelligent Translator Pro
com.aceana.lyzzer
Face Analyzer
com.tueclert.ruercder
*TrueCaller & TrueRecoder
*This fake app is not to be confused by the legitimate Truecaller, by True Software Scandinavia AB
com.trans.lator.txt.voice.pht
iTranslator_ Text & Voice & Photo
com.puls.rat.monik
Pulse App – Heart Rate Monitor
com.vidphoremanger
Video & Photo Recovery Manager 2
online.expresscredit.com
Быстрые кредиты 24\7
fit.ness.trainer
Fitness Trainer
com.clip.buddy
ClipBuddy
vec.tor.art
Vector arts
ludo.speak.v2
Ludo Speak v2.0
battery.live.wallpaperhd
Battery Live Wallpaper 4K
com.heartrateproxhealthmonitor
Heart Rate Pro Health Monitor
com.locatorqiafindlocation
Locatoria – Find Location
com.gtconacer
GetContacter
ph.oto.lab
Photo Lab
com.phoneboster
AR Phone Booster – Battery Saver
com.translator.arabic.en
English Arabic Translator direct
com.vpn.fast.proxy.fep
VPN Zone – Fast & Easy Proxy
com.projector.mobile.phone
100% Projector for Mobile Phone
com.forza.mobile.ult.ed
Forza H Mobile 4 Ultimate Edition
com.sticky.slime.sim.asmr.nws
Amazing Sticky Slime Simulator ASMR\u200f
com.clap.t.findz.m.phone
Clap To Find My Phone
com.mirror.scree.n.cast.tvv
Screen Mirroring TV Cast
com.frcallworwid
Free Calls WorldWide
locator.plus.my
My Locator Plus
com.isalamqciqc
iSalam Qibla Compass
com.lang.tra.nslate.ltef
Language Translator-Easy&Fast
com.wifi.unlock.pas.pro.x
WiFi Unlock Password Pro X
com.chat.live.stream.pvc
Pony Video Chat-Live Stream
com.zodiac.hand
Zodiac : Hand
com.lud.gam.ecl
Ludo Game Classic
com.locx.findx.locx
Loca – Find Location
com.easy.tv.show.ets
Easy TV Show
com.qiblaquran
Qibla correct Quran Coran Koran
com.dat.ing.app.sw.mt
Dating App – Sweet Meet
com.circ.leloca.fi.nder
R Circle – Location Finder
com.taggsskconattc
TagsContact
com.ela.salaty.musl.qibla
Ela-Salaty: Muslim Prayer Times & Qibla Direction
com.qiblacompassrtvi
Qibla Compass
com.soul.scanner.check.yh
Soul Scanner – Check Your
com.chat.video.live.ciao
CIAO – Live Video Chat
com.plant.camera.identifier.pci
Plant Camera Identifier
com.call.colop.chan.cc
Color Call Changer
com.squishy.pop.it
Squishy and Pop it
com.keyboard.virt.projector.app
Keyboard: Virtual Projector App
com.scanr.gdp.doc
Scanner Pro App: PDF Document
com.qrrea.derpro
QR Reader Pro
com.f.x.key.bo.ard
FX Keyboard
photoeditor.frame.com
You Frame
call.record.prov
Call Record Pro
com.isl.srick.ers
Free Islamic Stickers 2021
com.qr.code.reader.scan
QR Code Reader – Barcode Scanner
com.scan.n.ray
Bag X-Ray 100% Scanner
com.phone.caller.screnn
Phone Caller Screen 2021
com.trnsteito.nneapp
Translate It – Online App
com.mobthinfind
Mobile Things Finder
com.piriufffcaer
Proof-Caller
com.hones.earcy.laof
Phone Search by Clap
com.secontranslapro
Second Translate PRO
cal.ler.ids
CallerID
com.camera.d.plan
3D Camera To Plan
com.qib.find.qib.di
Qibla Finder – Qibla Direction
com.stick.maker.waps
Stickers Maker for WhatsApp
com.qbbl.ldironwach
Qibla direction watch (compass)
com.bo.ea.lesss.piano
Piano Bot Easy Lessons
com.seond.honen.umber
CallHelp: Second Phone Number
com.faspulhearratmon
FastPulse – Heart Rate Monitor
com.alleid.pam.lofhys
Caller ID & Spam Blocker
com.free.coupon2021
Free Coupons 2021
com.kfc.saudi.delivery.coupons
KFC Saudi – Get free delivery and 50% off coupons
com.skycoach.gg
Skycoach
com.live.chat.meet.hoo
HOO Live – Meet and Chat
easy.bass.booster
Easy Bass Booster
com.coupongiftsnstashop
Coupons & Gifts: InstaShop
com.finnccontat
FindContact
com.aunch.erios.drog
Launcher iOS for Android
com.blo.cced.als.pam.rzd
Call Blocker-Spam Call Blocker
com.blo.cced.als.pam.rzd
Call Blocker-Spam Call Blocker
com.ivemobibercker
Live Mobile Number Tracker
Donate Via Wallets
Donar a través de Wallets
Seleccione una billetera para aceptar donaciones en ETH BNB BUSD, etc.
Donate Via Wallets
MetaMask
Trust Wallet
Binance Wallet
WalletConnect
