Cabecera-v2-web.jpg

¡Cuidado! Campañas activas de distribución de malware a través de películas “piratas” descargadas desde sitios no oficiales


En estos últimos meses, debido a la pandemia del COVID-19 muchas personas se han visto forzadas a permanecer en sus hogares, lo que conlleva una mayor demanda de entretenimientos como los servicios de streaming y las descargas de películas y series, muchas veces desde sitios web no oficiales o inseguros. Esta situación ha sido aprovechada por los ciberdelincuentes para distribuir contenido malicioso a través de estos sitios. Estas campañas de distribución de malware afectan principalmente a España y países de sudamérica.

¿Qué pasó?

Se han detectado campañas de distribución de malware a través de servicios de streaming “piratas” y descargas de películas de sitios no oficiales. Estas campañas en su mayoría incluyen códigos maliciosos como por ejemplo: ransomware, troyanos, criptomineros, spyware, adware, entre otros.

En este caso específico, se reportaron casos de infección con criptomineros, los cuales son un tipo de malware diseñados especialmente para obtener criptomonedas aprovechando el procesamiento inactivo del sistema del usuario y utilizando de forma excesiva la CPU (Unidad Central de Procesamiento) o GPU (Unidad de Procesamiento Gráfico) del sistema afectado, sin consentimiento del usuario.

Este malware se distribuye a través de páginas de internet utilizadas para la descarga gratuita de películas o series de televisión populares. Algunos de los casos más comunes de infección fueron con las siguientes películas: "John Wick 3”,“Contagio”,“Puñales por la espalda”,“La hija de un ladrón” y “Lo dejo cuando quiera”.

Una vez que la víctima descarga el archivo y ejecuta el script, este código malicioso hace uso de la herramienta de Windows BITSAdmin para descargar en segundo plano otros archivos maliciosos, entre ellos un script AutoIT (lenguaje freeware de automatización para Windows) encargado de decodificar una DLL (archivos con código ejecutable que permiten utilizar las aplicaciones instaladas) de segunda etapa, que una vez se encuentra cargada en la memoria del sistema inyecta un código de criptominería en el proceso Notepad.exe, mediante la técnica de Process Hollowing, el cual consiste en cargar en el sistema un proceso legítimo, en este caso “Notepad.exe”, únicamente para utilizarlo como contenedor de código malicioso, permitiendo a los ciberdelincuentes no levantar sospechas una vez logran infectar el sistema de la víctima.

Recomendaciones:

  • Instale soluciones de antivirus/firewall, para analizar y eliminar posibles amenazas en el sistema.
  • Utilice solamente sitios web oficiales y confiables para la descarga de contenido.
  • Mantenga el sistema operativo actualizado con los últimos parches de seguridad disponibles.
  • Además, acontinuación se describen algunos aspectos que podrían indicar una infección con un malware de criptominería:
    • Un bajo rendimiento del equipo, debido a un alto consumo de la CPU,
    • Además del aumento anormal de la temperatura del hardware.
  • En caso de sospechas de una posible infección, se recomienda:
    • Iniciar el equipo en Modo Seguro,
    • Eliminar los archivos temporales y
    • Analizar el sistema con un antivirus para detectar y eliminar el malware en tiempo real.

Más detalles pueden ser visualizados en la guía realizada por AVG, disponible en el siguiente enlace

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11