El descargador de troyanos Nemucod está de vuelta con una nueva campaña. Esta vez cambió el payload que sirve a sus víctimas: ya no es ransomware, sino que su arma preferida ahora es un backdoor detectado por ESET como Win32/Kovter enfocado en hacer clic en anuncios publicitarios.

Como backdoor, este troyano permite al atacante controlar el equipo en forma remota sin que la víctima acceda o lo sepa. La variante usada actualmente puede ejecutar cuatro actividades principales:

  1. Descargar y ejecutar un archivo
  2. Recolectar información deiversa y enviarla al C&C
  3. Almacenar su propia información de configuración en entradas de Registro de Windows
  4. Controlar su propia función de hacer clic

En la ola que observamos recientemente, los operadores del malware se están enfocando en la capacidad de hacer clic en anuncios publicitarios para generar rédito, la cual se aplica en la máquina víctima a través de un navegador insertado. El troyano puede activar hasta 30 procesos separados, para que cada uno visite sitios web y haga clic en anuncios.

cuando el equipo está inactivo el malware puede asignar más recursos a sus actividades

El número de procesos puede cambiar por comandos del atacante, que también puede alterarlos automáticamente, dado que Kovter monitorea la memoria libre y el uso CPU. Esto ayuda al troyano a no sobrecargar el sistema y mantener un perfil bajo.

Sin embargo, cuando la computadora está inactiva, el malware puede asignar más recursos a sus actividades hasta que se vuelva a detectar actividad del usuario. Si se establece en su configuración, Kovter también puede verificar si la máquina infectada está ejecutada en un entorno controlado o virtual y reporta este dato al atacante.

Para propagar a Kovter, los atacantes detrás de la campaña usan el descargador (downloader) de Nemucod disfrazado de adjunto .zip en un correo electrónico. Los cibercriminales tratan de convencer a los usuarios de que abran una supuesta factura que contiene un archivo ejecutable JavaScript infectado.

Esta técnica se usa para evitar la detección en algunos escáneres de correo electrónico y alcanzar tantas víctimas como sea posible. Si el usuario cae en la trampa y ejecuta el archivo infectado (el downloader de Nemucod) descarga a Kovter en la máquina y lo ejecuta.

Campañas similares de Nemucod están rondando desde hace bastante tiempo. ESET advirtió sobre esta amenaza a fines de diciembre de 2015, cuando propagaba ransomware, y nuevamente en marzo de 2016 cuando logró altos índices de detección en Japón, Italia, Reino Unido, Irlanda, Alemania y España. Sin embargo, las olas anteriores trataban de descargar familias de ransomware, frecuentemente Locky o el ahora discontinuado TeslaCrypt, en vez del backdoor que hace clic en anuncios de ahora.

¿Cómo puedes evitar esta amenaza?

  • Si tu cliente de correo electrónico o servidor ofrece bloqueo de adjuntos por extensión, podrías bloquear los correos con adjuntos .EXE, *.BAT, *.CMD, *.SCR y *.JS.
  • Asegúrate de que tu sistema operativo muestra las extensiones de archivos. Esto ayuda a identificar su verdadero tipo en caso de que haya spoofing de extensiones dobles; por ejemplo “INVOICE.PDF.EXE” mostrado como “INVOICE.PDF”.
  • Si recibes en forma frecuente y legítima este tipo de archivos, fíjate bien quién es el remitente y si hay algo sospechoso analiza el mensaje y sus adjuntos con una solución de seguridad confiable.