¡ALERTA MÁXIMA!
Según estudios de
Perú,
Colombia y Venezuela son los más afectados
Espías en Latinoamérica:
una
amenaza a la privacidad
Pensar
en cibercriminales que atacan a personajes famosos, deportistas o
directamente a empresas enteras nos puede llevar a la paranoia, a pensar que en
cualquier momento podemos ser víctimas de un ataque y a preocuparnos por demás.
Existen amenazas que son capaces de
grabar lo que decimos, filmarnos
con la cámara web y ver qué sitios visitamos, cuándo y con
qué navegador. Esto es una realidad, pero lejos está de ser una
epidemia.
El Laboratorio
de ESET detectó una que solo se
propagó por Latinoamérica. Se trata de una variante de Python/Agent.A, un código malicioso que cuenta con
distintas funcionalidades: invadir
la privacidad del usuario, acceder a su información e incluso ver y escuchar
qué es lo que pasa alrededor del sistema. Según la información estadística
de ESET Live Grid, la variante analizada de este código malicioso
en particular se vio en Perú (66%), Colombia (22%)
y Venezuela (12%), pero otras versiones de esta misma familia
se vieron en Ecuador y Nicaragua.
La amenaza
La variante
de Python/Agent.A fue
reportada a los laboratorios de ESET
bajo el nombre de Javafds.exe
y, al analizar su comportamiento, se comprobó que simula ser parte de una
actualización de JAVA pero, en
realidad, recopilará información del usuario y muchas cosas más.
Lo que parecía
ser un update de
una aplicación es un archivo comprimido
autoextraíble. Al engañar al usuario y lograr que haga un doble clic en él,
creará una carpeta en los archivos temporales del sistema (%TEMP%\RarSFX0) para luego ejecutar las rutinas de instalación
de la amenaza y comenzar a ejecutarse.
Una vez que se
ejecuta la amenaza, intentará grabar información con la cámara, activar los
micrófonos y capturar información de la pantalla del usuario. Este archivo es
leído por los diferentes módulos de la amenaza pero nada sucede hasta que no se
terminan de descomprimir los archivos y Javafds.exe
intenta ejecutar el archivo javaTM.exe
a través de una llamada a la función.
El segundo
proceso que se lanza en el sistema es el encargado de configurar correctamente
la amenaza. Este crea las carpetas en las cuáles se guarda la información,
genera una entrada para ejecutarse ante cada inicio del sistema y oculta
los archivos. Además, se crea una tarea
programada para que el mismo sistema operativo automáticamente, una vez
por hora, se encargue de volver a ejecutar uno de los módulos principales (javaH.exe)
que disparará el proceso java.exe
El
proceso que se ejecuta con el nombre java.exe es la
parte principal de esta amenaza. Entre sus funcionalidades se encuentra el
contacto con el C&C para recibir
órdenes, la ejecución de los módulos de captura de video, cámara y audio, el
registro de las actividades del usuario en el archivo Log.htm, la descarga de nuevos módulos y funcionalidades, una lista
de información del sistema, archivos en el disco y configuración de la red.
Una vez que se comienza a ejecutar este proceso la amenaza se encuentra
activa al 100% y es capaz de recolectar toda la información del sistema sin que
el usuario se dé cuenta. Toda la información que el usuario escribe en los
sitios que visita, los programas que abre o cualquier otro dato, queda
registrado en este log, haciendo posible que el cibercriminal robe usuarios y
contraseñas de cada servicio visitado. Además, dentro del directorio de la
amenaza, en la carpeta “Encryp” hay tres archivos. El primero y
el último son dos bases de datos de SQLite que guardan la información y el
archivo del medio que contiene información del sistema.
Entre
la información que se almacena, se encuentran las tablas y en particular una
que almacenará cualquier información relacionada a tarjetas de crédito que el usuario ingrese. El otro
archivo mantiene un registro de las URLs,
que funciona en conjunto con esta base para saber las acciones que realiza el
usuario. El sitio al cual se conecta y envía la información se
encuentra alojado en Colombia,
pero fue bloqueado por las soluciones
de ESET para proteger a
los usuarios y actualmente se encuentra dado de baja para desactivar la amenaza
como una medida proactiva para el resto de los usuarios.
Finalmente, cuando llegue el momento adecuado, el
cibercriminal podrá recuperar toda la información a través de una comunicación
cifrada, evitando que el usuario se dé cuenta de que lo están espiando y
robando su información.
Ante este tipo de situaciones no hay que
desesperarse, estas amenazas existen pero siguiendo unas buenas prácticas de
seguridad, las posibilidades de exponernos ante este tipo de riesgos decrecen
considerablemente. Además, soluciones
de seguridad proactivas como las de ESET detectan y evitan que estas amenazas
accedan a nuestros datos.
No hay comentarios:
Publicar un comentario