Top 10 tráfico de malware detectado en Galicia

Existen diferentes tipos de programas maliciosos, englobados bajo el nombre genérico de malware. Muchos de los elementos de malware actuales siguen patrones de comunicación propios que, una vez que son descubiertos por el personal que se dedica a ese tipo de investigación, es posible localizar entre el tráfico de Internet. Su detección delata la presencia de malware en el equipo o equipos que están accediendo a Internet a través de una dirección IP determinada. Las direcciones IP, que identifican el origen y destino de todas las comunicaciones a través de la red, se distribuyen de manera que es posible conocer cuál es su ubicación. De este modo se llega a disponer de información sobre este tráfico asociado a la existencia de malware que tiene su origen (o destino) en equipos que acceden a Internet desde Galicia.

Top 10 infecciones detectadas en comunicaciones de direcciones IP gallegas

Es oportuno destacar que puede existir malware activo que no sea detectado de este modo, por ejemplo, porque sus patrones de comunicación no son conocidos.

En este informe se muestran y caracterizan las diez principales amenazas que se han detectado en las redes gallegas durante el mes de enero de 2024:

 

Malware detectado

Porcentaje de detecciones

Variación respecto al periodo anterior

1

ArrkiiSDK

9,50%

-36%

2

Socks5Systemz 

9,10%

1%

3

AMCleaner

8,10%

3%

4

RootSTV 

7,90%

-12%

5

DarkGate

5,70%

7%

6

UUpay 

5,00%

-18%

7

CrossRider

4,50%

6%

8

Triada

3,70%

-22%

9

Hiddad

3,50%

-29%

10

Conficker

2,90%

31%

*Los porcentajes se refieren al número de direcciones IP en las que se detecta cada tipo de malware en relación al número total de direcciones IP en las que se detecta algún malware (Fuente: BitSight).

**Para la evaluación de la peligrosidad se toman como referencia diversas fuentes de acceso público.

 

 

AMCleaner

  • Plataforma: MacOS
  • Peligrosidad: No evaluada
  • Características: AMCleaner, también conocido como Advanced Mac Cleaner, es un PUP (programa potencialmente no deseado) para equipos Macintosh. Aunque su actividad no es realmente dañina para los equipos, puede abrir la puerta a nuevas infecciones con programas más peligrosos.
  • Síntomas: Al acceder a ciertas páginas web, AMCleaner presentará a sus visitantes varias afirmaciones falsas sobre la detección de problemas relacionados con malware en el dispositivo. Es posible que se muestre una ventana de escaneo falsa que informa de varias amenazas encontradas, intentando amedrentar al usuario para que descargue una aplicación de ‘limpieza’. Si se descarga e instala, la aplicación empezará a generar notificaciones falsas de problemas en el sistema para impulsar a los usuarios a pagar por la versión completa del programa.
  • Eliminación: Preferentemente mediante antivirus.

 

ArrkiiSDK

  • Plataforma: Android
  • Peligrosidad: No evaluada
  • Características: ArrkiiSDK es un tipo de malware que se propaga a través de aplicaciones para teléfonos móviles o tabletas que utilizan el sistema operativo Android. Al iniciar la aplicación que trae consigo el virus, se abre la puerta a que este pueda entrar en el navegador web del móvil e, incluso, llevar a páginas que estén también infectadas por otro tipo de virus.
  • Síntomas: Se muestran anuncios de manera abusiva, se instalan aplicaciones sin consentimiento del usuario. Posible ralentización del aparato.
  • Eliminación: Se puede resolver la infección desinstalando la app que lleva el malware oculto en su interior. De ser difícil determinar cuál es, se recomienda utilizar un antivirus.

 

Conficker

  • Plataforma: Windows
  • Peligrosidad: Baja (alta en lo referente a exposición de información).
  • Características: Conficker es un gusano informático que se comenzó a propagar en el mes de noviembre del año 2008. Atacaba una vulnerabilidad de los sistemas operativos de Microsoft de la época y lograba tomar el control del dispositivo infectado para convertirlo en parte de una botnet. Entre las instrucciones que puede recibir un equipo infectado están descargar otros programas maliciosos, como spywares y keyloggers, para rastrear las actividades del usuario y sus contraseñas.
  • Síntomas: En caso de disponer de un ordenador con un sistema operativo anterior a Windows 7, (Vista o XP y en servidores 2008 o anterior), el equipo es susceptible de ser infectado. El malware es capaz de desactivar las actualizaciones automáticas y software antivirus antiguo. 
  • Eliminación: Para el caso de Conficker, dada la antigüedad de la amenaza y que los equipos vulnerables son obsoletos, la recomendación, sin duda, es la actualización a un sistema operativo con soporte técnico en vigor. Utilizar un equipo tan inseguro y que ya se demuestra que ha sido comprometido es un riesgo constante. En cualquier caso, existen en Internet herramientas específicas para su eliminación.

 

Crackonosh

  • Plataforma: Windows
  • Peligrosidad: No evaluada.
  • Características: Crackonosh es un troyano con capacidad de minar criptomonedas. Además, permite el acceso remoto a los atacantes, y el equipo pasa a formar parte de una botnet. Se suele encontrar en instaladores de software pirateado: al instalar ese software se instala también el malware, y también se instala al abrir adjuntos de correos electrónicos infectados, anuncios maliciosos en línea o mediante técnicas de ingeniería social que inciten a ejecutar un archivo.
  • Síntomas: desactivación del software antivirus del equipo. Durante el minado de criptomoneda utiliza los recursos del equipo infectado, por lo que se puede detectar lentitud y sobrecarga del procesador.
  • Eliminación: mediante un antivirus actualizado o las utilidades recomendadas por el Incibe.

 

CrossRider

  • Plataforma: Windows/MacOS
  • Peligrosidad: Baja
  • Características: Crossrider es una plataforma de desarrollo de software que se enfoca a la adquisición de datos y la monetización para aplicaciones web, servidores de anuncios y redes.
  • Síntomas: Cambios no deseados de la página de inicio del navegador, aparece un número excesivo de anuncios, el equipo se puede ralentizar.
  • Eliminación: Se recomienda el uso de antivirus, aunque para usuarios avanzados se pueden encontrar instrucciones técnicas en distintas páginas web, tanto para Macintosh como para Windows. 

 

DarkGate

  • Plataforma: Windows
  • Peligrosidad: Baja
  • Características: DarkGate es un malware que permite la descarga y ejecución de otros malware en los equipos infectados. Por sí mismo tiene las siguientes capacidades: Recopilación de información, robo de credenciales, criptominería, herramienta de acceso remoto: DarkGate puede iniciar una conexión de red virtual y recibir y ejecutar comandos.
  • Síntomas: Para detectar el malwareDarkGate se deben buscar signos de actividad sospechosa, como rendimiento lento del sistema, programas que se bloquean con frecuencia, o la presencia de aplicaciones desconocidas.
  • Eliminación: DarkGate no es sencillo de eliminar de manera manual. Se recomienda el uso de antivirus actualizado.

 

Glupteba

  • Plataforma: Windows y Macintosh
  • Peligrosidad: alta
  • Características: troyano que proporciona una puerta trasera en el equipo infectado y hace que pase a formar parte de una botnet. En las últimas versiones permite hacerse con el control de los navegadores, accediendo a la información almacenada en ellos (historial, nombres de usuario y contraseñas…), y dispone de un módulo para tratar de comprometer el router, de modo que pueda ser utilizado como proxy (ver Socks5Systemz).

    Un medio de infección es a través de ‘Exploit kits’, aplicaciones que se incrustan en páginas web, de modo que detectan las versiones de los navegadores que acceden a ellas y tratan de aprovechar las vulnerabilidades específicas. Cabe recomendar que tanto el sistema operativo como las aplicaciones (incluyendo el navegador web) se mantengan actualizados.

  • Síntomas: sin descripción.
  • Eliminación: mediante las utilidades recomendadas por el Incibe para Windows y para Macintosh.

 

Hiddad

  • Plataforma: Android
  • Peligrosidad: No evaluada
  • Características: Hiddad tiene características principalmente de ‘adware’ (mostrar anuncios), pero también puede acceder a información de seguridad del usuario almacenada en el equipo. Se suele instalar a partir del instalador modificado de una aplicación legítima, y pide permisos de administración para poder ocultarse de los programas antivirus.
  • Síntomas: se muestra publicidad no solicitada de manera frecuente. Un síntoma característico es que se fuerza al usuario a otorgar cinco estrellas a la aplicación en una valoración, lo que aumenta su atractivo y apariencia de legitimidad para nuevas víctimas.
  • Eliminación: mediante antivirus actualizado.

 

Mirai 

  • Plataforma: Linux (IoT)
  • Peligrosidad: Baja
  • Características: Mirai es un malware que convierte los dispositivos en red que ejecutan Linux en bots controlados de forma remota que se pueden usar como parte de una botnet en ataques de red a gran escala. Se dirige principalmente a dispositivos de consumo en línea, como cámaras IP, enrutadores domésticos o incluso unidades de almacenamiento NAS. Una vez que se detecta el dispositivo, el malware intenta acceder utilizando su contraseña por defecto.
  • Síntomas: Por la propia naturaleza de muchos dispositivos IoT, resulta difícil detectar estas infecciones. Si se dispone de dispositivos que mantienen su contraseña de administración por defecto, porque no se pueda cambiar o porque se haya dejado por descuido, se debe revisar su configuración, pero requiere de conocimientos especializados detectar los cambios
  • Eliminación: En la mayor parte de los casos, la mejor opción será volver a la configuración de fábrica, cambiar la contraseña de administración (si se puede) y volver a aplicar la configuración deseada.

 

RootSTV

  • Plataforma: Android (versiones antiguas)
  • Peligrosidad: Baja
  • Características:   RootSTV es un malware dirigido a televisores inteligentes (aunque puede infectar otros dispositivos Android), que normalmente ejecutan versiones antiguas de ese sistema operativo. Suele propagarse a través de aplicaciones maliciosas que supuestamente permiten a los usuarios ver canales de televisión de otras partes del mundo.
  • Síntomas: Posible ralentización de respuesta del aparato. Aparecen aplicaciones instaladas sin consentimiento del usuario.
  • Eliminación: Si el aparato lo permite, instalar un antivirus desde Google Play Store. En caso contrario, restaurar al estado inicial (factory default) y aplicar las actualizaciones más recientes que estén disponibles.

 

Sality 

  • Plataforma: Windows
  • Peligrosidad: Media-baja
  • Características: Sality es un conjunto antiguo de diversos programas maliciosos. Aunque tiene su origen en 2003, sigue manteniendo su relevancia porque sus desarrolladores continúan evolucionando este malware y añaden nuevas funciones. Utilizan diversas vías de infección: campañas de phishing que inducen a descargar y ejecutar su instalador, infección a través de carpetas compartidas o unidades extraíbles... Una vez instalado, sirve de vector para distintas acciones maliciosas: robar información, abrir ‘puertas traseras’ para instalar más malware, ocultarse como ‘rootkit’, el equipo puede pasar a formar parte de una red botnet, etc.
  • Síntomas: Para cumplir con sus objetivos, este malware intenta pasar desapercibido tanto tiempo como sea posible. Es recomendable disponer de un antivirus actualizado que lo pueda detectar.
  • Eliminación: Se recomienda el uso de antivirus, aunque existen herramientas gratuitas online que lo detectan y eliminan.

 

Socks5Systemz

  • Plataforma: Windows
  • Peligrosidad: No evaluada
  • Características: el malware se instala a través de otras dos familias de malware de tipo ‘loader’ (Amadey y PrivateLoader), que previamente han infectado los equipos de destino a través de diversos medios como la descarga de aplicaciones falsas, correos electrónicos de phishing, o publicidad y sitios web maliciosos.

    Una vez que se ha instalado, los equipos pueden ser utilizados como ‘proxies’, es decir, alguien se conectará a ellos y todo lo que haga en Internet quedará registrado en la dirección IP de la víctima, impidiendo que el atacante sea rastreado. Los distribuidores del malware venden el acceso a este servicio de ‘proxy’ a quienes estén interesados en ocultar sus acciones en la red. Usos típicos son realizar ataques de denegación de servicio (DDoS), descargar e instalar malware en otros dispositivos y robar información personal, como contraseñas y números de tarjetas de crédito.

  • Síntomas: no se describen, para detectarlo se debe usar software antivirus actualizado.
  • Eliminación: mediante software antivirus actualizado o programas limpiadores recomendados por el Incibe.

 

SuperOptimizer 

  • Plataforma: Windows
  • Peligrosidad: Baja
  • Características: El malware SuperOptimizer es un programa que se presenta como una herramienta para mejorar el rendimiento del ordenador. Tras un supuesto escaneo inicial, avisa de numerosos problemas que, informa, podrán ser corregidos adquiriendo la versión de pago. Se han reportado capacidades de modificación del registro para asegurar la persistencia y de espionaje de distintas fuentes de información en los equipos infectados.
  • Síntomas: Avisos alarmistas de diferentes problemas en el equipo que se solucionarían adquiriendo la versión de pago.
  • Eliminación: Existen métodos manuales de eliminación, pero requieren varias operaciones. Para un usuario medio, se recomienda el uso de antivirus.

 

Triada

  • Plataforma: Android
  • Peligrosidad: No evaluada
  • Características: El malware Triada se identificó en 2016 como un troyano para Android que instalaba aplicaciones adicionales en los dispositivos, para funciones de spam y engañar a las estadísticas. Posteriormente, mutó y se convirtió en una puerta trasera de Android que permitía acceder al sistema de SMS para interceptar mensajes de transacciones económicas ou buscar en el sistema datos como tarjetas de crédito o credenciales.
  • Síntomas: Triada es un malware difícil de localizar, de hecho se ha detectado en alguna ocasión en el 'firmware' de algún modelo de móvil, antes incluso de ser vendido. 
  • Eliminación: Se recomienda el uso de antivirus tanto para detección como para eliminación. También se pueden utilizar las utilidades propuestas por el Incibe.

 

UUpay

  • Plataforma: Android
  • Peligrosidad: no evaluada
  • Características: Uupay es un troyano que recopila datos sobre el equipo infectado, como su ubicación y contactos. También puede descargar e instalar software, y leer y enviar mensajes de texto, así como leer y manipular la información de conexión. Aunque en 2014 hubo una oleada en la que este malware venía instalado de fábrica en algunos móviles, el método de contagio habitual es la instalación de aplicaciones infectadas.
  • Síntomas: aparición de aplicaciones no instaladas por el usuario, cierre espontáneo de aplicaciones, cambios en las conexiones sin causa aparente.
  • Eliminación: Si el malware viene de fábrica, solo se puede eliminar mediante una actualización del firmware del terminal (consultar con el fabricante). En otros casos, se pueden utilizar las utilidades recomendadas por el Incibe.