Top 10 tráfico de malware detectado en Galicia

Existen diferentes tipos de programas maliciosos, englobados baixo o nome xenérico de malware. Moitos dos elementos de malware actuais seguen patróns de comunicación propios que, unha vez que son descubertos polo persoal que se dedica a ese tipo de investigación, é posible localizar entre o tráfico de Internet. A súa detección delata a presenza de malware no equipo ou equipos que están a acceder a Internet a través dunha dirección IP determinada. As direccións IP, que identifican a orixe e destino de todas as comunicacións a través da rede, distribúense de maneira que é posible coñecer cal é a súa localización. Deste xeito chégase a dispoñer de información sobre este tráfico asociado á existencia de malware que ten a súa orixe (ou destino) en equipos que acceden a Internet desde Galicia.

 

Top 10 Infeccións detectadas en comunicaciones de direccións IP galegas

É oportuno destacar que pode existir malware activo que non sexa detectado deste xeito, por exemplo porque os seus patróns de comunicación non son coñecidos.

Neste informe móstranse e caracterizan as dez principais ameazas que se detectaron nas redes galegas durante o mes de xaneiro de 2024:

 

Malware detectado

Porcentaxe de deteccións

Variación respecto ao periodo anterior

1

ArrkiiSDK

9,50%

-36%

2

Socks5Systemz 

9,10%

1%

3

AMCleaner

8,10%

3%

4

RootSTV 

7,90%

-12%

5

DarkGate

5,70%

7%

6

UUpay 

5,00%

-18%

7

CrossRider

4,50%

6%

8

Triada

3,70%

-22%

9

Hiddad

3,50%

-29%

10

Conficker

2,90%

31%

*As porcentaxes refírense ao número de direccións IP nas que se detecta cada tipo de malware en relación ao número total de direccións IP nas que se detecta algún malware (Fonte: BitSight).

**Para a avaliación do perigo tómanse como referencia diversas fontes de acceso público.

 

 

AMCleaner

  • Plataforma: Macintosh
  • Perigo: Non avaliado
  • Características: AMCleaner, tamén coñecido como Advanced Mac Cleaner, é un PUP (programa potencialmente non desexado) para equipos Macintosh. Aínda que a súa actividade non é realmente daniña para os equipos, pode abrir a porta a novas infeccións con programas máis perigosos.
  • Síntomas: Ao acceder a certas páxinas web, AMCleaner presentará aos seus visitantes varias afirmacións falsas sobre a detección de problemas relacionados con malware no dispositivo. É posible que se mostre unha xanela de escaneo falsa que informa de varias ameazas atopadas, tentando amedrentar ao usuario para que descargue unha aplicación de ‘limpeza’. Se se descarga e instala, a aplicación empezará a xerar notificacións falsas de problemas no sistema para impulsar aos usuarios para pagar pola versión completa do programa.
  • Eliminación: Preferentemente mediante antivirus.

 

ArrkiiSDK

  • Plataforma: Android
  • Perigo: Non avaliado
  • Características: ArrkiiSDK é un tipo de malware que se propaga a través de aplicacións para teléfonos móbiles ou tabletas que utilizan o sistema operativo Android. Ao iniciar a aplicación que trae consigo o virus, ábrese a porta a que este poida entrar na navegador web do móbil e, mesmo, levar a páxinas que estean tamén infectadas por outro tipo de virus.
  • Síntomas: Móstranse anuncios de maneira abusiva, instálanse aplicacións sen consentimento do usuario. Posible retardación do aparello.
  • Eliminación: Pódese resolver a infección desinstalando a app que leva o malware oculto no seu interior. De ser difícil determinar cal é, recoméndase utilizar un antivirus.

 

Conficker

  • Plataforma: Windows
  • Perigo: Baixo (alto no referente a exposición de información).
  • Características: Conficker é un verme informático que se comezou a propagar no mes de novembro do ano 2008. Atacaba unha vulnerabilidade dos sistemas operativos de Microsoft da época e lograba tomar o control do dispositivo infectado para convertelo en parte dunha botnet. Entre as instrucións que pode recibir un equipo infectado están descargar outros programas maliciosos, como spywares ou keyloggers, para rastrexar as actividades do usuario e os seus contrasinais.
  • Síntomas: En caso de dispoñer dun computador cun sistema operativo anterior a Windows 7, (Vista ou XP e en servidores 2008 ou anterior), o equipo é susceptible de ser infectado. O malware é capaz de desactivar as actualizacións automáticas e software antivirus antigo. 
  • Eliminación: Para o caso de Conficker, dada a antigüidade da ameaza e que os equipos vulnerables son obsoletos, a recomendación, sen dúbida, é a actualización a un sistema operativo con soporte técnico en vigor. Utilizar un equipo tan inseguro e que xa se demostra que foi comprometido é un risco constante. En calquera caso, existen en Internet ferramentas específicas para a súa eliminación. 

 

Crackonosh

  • Plataforma: Windows
  • Perigo: Non avaliado 
  • Características: Crackonosh é un troiano con capacidade de minar criptomoedas. Ademais, permite o acceso remoto aos atacantes, e o equipo pasa a formar parte dunha botnet. Adóitase atopalo en instaladores de software pirateado: ao instalar ese software instálase tamén o malware, e tamén se instala ao abrir adxuntos de correos electrónicos infectados, anuncios maliciosos en liña ou mediante técnicas de enxeñería social que inciten a executar un arquivo.
  • Síntomas: desactivación do software antivirus do equipo. Durante o minado de criptomoneda utiliza os recursos do equipo infectado, polo que se pode detectar lentitude e sobrecarga do procesador.
  • Eliminación: mediante un antivirus actualizado ou as utilidades recomendadas polo Incibe.

 

CrossRider

  • Plataforma: Windows/Macintosh
  • Perigo: Baixo
  • Características: Crossrider é unha plataforma de desenvolvemento de software que se enfoca á adquisición de datos e a monetización para aplicacións web, servidores de anuncios e redes.
  • Síntomas: Cambios non desexados da páxina de inicio do navegador, aparece un número excesivo de anuncios, o equipo pódese retardar.
  • Eliminación: Recoméndase o uso de antivirus, aínda que para usuarios avanzados pódense atopar instrucións técnicas en distintas páxinas web, tanto para Macintosh como para Windows

 

DarkGate

  • Plataforma: Windows
  • Perigo: Baixo
  • Características: DarkGate é un malware que permite a descarga e execución doutros malware nos equipos infectados. Por si mesmo ten as seguintes capacidades: recompilación de información, roubo de credenciais, criptominería, ferramenta de acceso remoto: DarkGate pode iniciar unha conexión de rede virtual e recibir e executar comandos.
  • Síntomas: Para detectar o malware DarkGate débense buscar signos de actividade sospeitosa, como rendemento lento do sistema, programas que se bloquean con frecuencia, ou a presenza de aplicacións descoñecidas.
  • Eliminación: DarkGate non é sinxelo de eliminar de maneira manual. Recoméndase o uso de antivirus actualizado.

 

Glupteba

  • Plataforma: Windows y Macintosh
  • Perigo: alto
  • Características: troiano que proporciona unha porta traseira no equipo infectado e fai que pase a formar parte dunha botnet. Nas últimas versións permite facerse co control dos navegadores, accedendo á información almacenada neles (historial, nomes de usuario e contrasinais…), e dispón dun módulo para tratar de comprometer o router, de modo que poida ser utilizado como proxy (ver Socks5Systemz).

    Un medio de infección é a través de ‘Exploit kits’, aplicacións que se incrustan en páxinas web, de modo que detectan as versións dos navegadores que acceden a elas e tratan de aproveitar as vulnerabilidades específicas. Cabe recomendar que tanto o sistema operativo como as aplicacións (incluíndo a navegador web) mantéñanse actualizados.

  • Síntomas: sen descrición.
  • Eliminación: mediante as utilidades recomendadas polo Incibe para Windows y para Macintosh.

 

Hiddad

  • Plataforma: Android
  • Perigo: Non avaliado
  • Características: Hiddad ten características principalmente de ‘adware’ (mostrar anuncios), pero tamén pode acceder a información de seguridade do usuario almacenada no equipo. Adóitase instalar a partir do instalador modificado dunha aplicación lexítima, e pide permisos de administración para poder ocultarse de programas antivirus.
  • Síntomas: móstrase publicidade non solicitada de maneira frecuente. Un síntoma característico é que se forza ao usuario para outorgar cinco estrelas á aplicación nunha valoración, o que aumenta o seu atractivo e aparencia de lexitimidade para novas vítimas.
  • Eliminación: mediante antivirus actualizado.

 

Mirai 

  • Plataforma: Linux (IoT)
  • Peligrosidad: Baja
  • Características: Mirai é un malware que converte os dispositivos en rede que executan Linux en bots controlados de forma remota que se poden usar como parte dunha botnet en ataques de rede a gran escala. Diríxese principalmente a dispositivos de consumo en liña, como cámaras IP, enrutadores domésticos ou mesmo unidades de almacenamento NAS. Unha vez que se detecta o dispositivo, o malware tenta acceder utilizando o seu contrasinal por defecto.
  • Síntomas: Pola propia natureza de moitos dispositivos IoT, resulta difícil detectar estas infeccións. Se se dispón de dispositivos que manteñen o seu contrasinal de administración por defecto, porque non se poida cambiar ou porque se deixou por descoido, débese revisar a súa configuración, pero require de coñecementos especializados detectar os cambios
  • Eliminación: Na maior parte dos casos, a mellor opción será volver á configuración de fábrica, cambiar o contrasinal de administración (se se pode) e volver aplicar a configuración desexada.

 

RootSTV

  • Plataforma: Android (versións antigas)
  • Perigo: Baixo
  • Características:   RootSTV é un malware dirixido a televisores intelixentes (aínda que pode infectar outros dispositivos Android), que normalmente executan versións antigas dese sistema operativo. Adoita propagarse a través de aplicacións maliciosas que supostamente permiten aos usuarios ver canles de televisión doutras partes do mundo.
  • Síntomas: Posible lentitude de resposta do aparello. Aparecen aplicacións instaladas sen consentimento do usuario.
  • Eliminación: Se o aparello o permite, instalar un antivirus desde Google Play Store. En caso contrario, restaurar ao estado inicial (factory default) e aplicar as actualizacións máis recentes que estean dispoñibles.

 

Sality 

  • Plataforma: Windows
  • Perigo: Medio-baixo
  • Características: Sality é un conxunto antigo de diversos programas maliciosos. Aínda que ten a súa orixe en 2003, segue mantendo a súa relevancia porque os seus programadores continúan evolucionando este malware e engaden novas funcións. Utilizan diversas vías de infección: campañas de phishing que inducen a descargar e executar o seu instalador, infección a través de cartafoles compartidos ou unidades extraíbles... Unha vez instalado, serve de vector para distintas accións maliciosas: roubar información, abrir ‘portas traseiras’ para instalar máis malware, ocultarse como ‘rootkit’, o equipo pode pasar a formar parte dunha rede botnet etc.
  • Síntomas: Para cumprir cos seus obxectivos, este malware tenta pasar desapercibido tanto tempo como sexa posible. É recomendable dispoñer dun antivirus actualizado que o poida detectar.
  • Eliminación: Recoméndase o uso de antivirus, aínda que existen ferramentas gratuítas en liña que o detectan e eliminan.

 

Socks5Systemz

  • Plataforma: Windows
  • Perigo: Non avaliado
  • Características: o malware instálase a través doutras dúas familias de malware de tipo loader (Amadey e PrivateLoader), que previamente infectaron os equipos de destino a través de diversos medios como a descarga de aplicacións falsas, correos electrónicos de phishing, ou publicidade e sitios web maliciosos.

    Unha vez que se instalou, os equipos poden ser utilizados como proxies, é dicir, alguén se conectará a eles e todo o que faga na internet quedará rexistrado na dirección IP da vítima, impedindo que o atacante sexa rastrexado. Os distribuidores do malware venden o acceso a este servizo de proxy a quen estea interesados en ocultar as súas accións na rede. Usos típicos son realizar ataques de denegación de servizo (DDoS), descargar e instalar malware noutros dispositivos e roubar información persoal, como contrasinais e números de tarxetas de crédito.

  • Síntomas: non se describen, para detectalo débese usar software antivirus actualizado.
  • Eliminación: mediante software antivirus actualizado ou programas limpadores recomendados polo Incibe.

 

SuperOptimizer 

  • Plataforma: Windows
  • Perigo: Baixo
  • Características: O malware SuperOptimizer é un programa que se presenta como unha ferramenta para mellorar o rendemento do computador. Tras un suposto escaneo inicial, avisa de numerosos problemas que, informa, poderán ser corrixidos adquirindo a versión de pago. Téñense reportado capacidades de modificación do rexistro para asegurar a persistencia e de espionaxe de distintas fontes de información nos equipos infectados.
  • Síntomas: Avisos alarmistas de diferentes problemas no equipo que se solucionarían adquirindo a versión de pago.
  • Eliminación: Existen métodos manuais de eliminación, pero requiren varias operacións. Para un usuario medio, recoméndase o uso de antivirus.

 

Triada

  • Plataforma: Android
  • Perigo: Non avaliado
  • Características: O malware Triada identificouse en 2016 como un troyano para Android que instalaba aplicacións adicionais nos dispositivos, para funcións de spam e enganar ás estatísticas. Posteriormente, mutou e converteuse nunha porta traseira de Android que permitía acceder ao sistema de SMS para interceptar mensaxes de transaccións económicas.
  • Síntomas: Triada é un malware difícil de localizar, de feito tense detectado nalgunha ocasión no firmware dalgún modelo de móbil, antes mesmo de ser vendido. É recomendable dispoñer dun antivirus actualizado que o detecte e elimine.
  • Eliminación: Recoméndase o uso de antivirus.

 

UUpay

  • Plataforma: Android
  • Perigo: Non avaliado
  • Características: Uupay é un troiano que recompila datos sobre o equipo infectado, como a súa localización e contactos. Tamén pode descargar e instalar software, e ler e enviar mensaxes de texto, así como ler e manipular a información de conexión. Aínda que en 2014 houbo unha vaga na que este malware viña instalado de fábrica nalgúns móbiles, o método de contaxio habitual é a instalación de aplicacións infectadas.
  • Síntomas: aparición de aplicacións non instaladas polo usuario, peche espontáneo de aplicacións, cambios nas conexións sen causa aparente.
  • Eliminación: Se o malware ven de fábrica, só se pode eliminar mediante unha actualización do firmware do terminal (consultar co fabricante). Noutros casos, pódense utilizar utilidades recomendadas polo Incibe.