Utilizan actualizaciones falsas de navegadores web para distribuir el malware Kovter

Escrito por Adrián Crespo

No se trata de una técnica nueva, pero sí es cierto que, con la ayuda de la ingeniería social, consiguen que cada vez sea mayor el número de usuarios que se vean afectados. El último ataque de estas características que ha sido detectado tiene como protagonista a los navegadores web y el malware Kovter, que juega un papel de mero intermediario, tal y como comprobaremos a continuación.

Expertos en seguridad han sido los encargados de detectar esta nueva campaña que está presente en una gran cantidad de sitios web de temática muy diversa. Pornografía, descarga de software pirata y buscadores de torrents son las principales vías de difusión. Es decir, los ciberdelincuentes saben elegir qué sitios web deben utilizar para lograr su objetivo. Al final, cuantas mayores sean el número de infecciones más posibilidades tendrán de alcanzar su objetivo.

Teniendo en cuenta que disponen de la ayuda de la ingeniería social, los atacantes son capaces de personalizar el mensaje mostrado a los usuarios en función del sistema operativo y navegador web. Google Chrome, Mozilla Firefox o Internet Explorer son los navegadores web utilizados para distribuir Kovter.

Detalles de Kovter: no es realmente el peligro

Aunque pueda parecer algo contradictorio, sobre todo si hablamos de malware, la realidad es que este software que se instala en equipos Windows se trata de un mero intermediario. O lo que es lo mismo, tiene como función servir como puente a la llegada de más amenazas.

Ransomwares, troyanos bancarios, adware, y así hasta completar un listado bastante amplio. Tal y como podemos imaginar, algunas supondrán un peligro mayor que otras.

El archivo que descargan los usuarios es de tipo JavaScript en el caso de Google Chrome o Firefox y HTA si hacemos mención a Internet Explorer. Una vez realizada esta descarga y su posterior ejecución, comienza el proceso de comprobación del equipo.

Antes de realizar la instalación, se verifican cuáles son las condiciones, sobre todo en lo que se refiere a la presencia de herramientas de seguridad.

Tras asegurarse de que están desactivadas o que no existe ninguna instalada, comienza con la descarga del instalador. Todo esto se lleva a cabo en segundo plano y sin que el usuario sea consciente de qué es lo que está sucediendo en su dispositivo.

Selección de qué usuarios debe afectar

Uno de los aspectos más destacables de esta amenaza es que escoge qué usuarios debe afectar. Es decir, posee un filtro geográfico para afectar solo a los usuarios que se encuentren dentro de un país. Podría darse el caso que el instalador se encuentre en tu equipo y que no se ejecute (o, mejor dicho, se complete la instalación) porque no estás dentro de la región perseguida por los ciberdelincuentes.

Es cierto que este problema queda resuelto con la presencia de una herramienta de seguridad en el equipo. Un software antivirus sería capaz de detener la primera instalación, evitando de esta forma la llegada de otros softwares no deseados al dispositivo.

La otra recomendación que realizan los expertos en seguridad es no acceder nunca al contenido a través de pop-ups que aparecen en la parte superior de la pantalla, ya que en un porcentaje próximo al 100% se trata de contenido utilizado por ciberdelincuentes para distribuir malware y estafar al usuario.

Fuente > Bleeping Computer

Últimos análisis

Valoración RZ
7
Valoración RZ
9
Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
10