Ya hay 111.000 víctimas: detectan un malware disfrazado de conocidos softwares gratuitos como Google Translate Desktop

• La campaña lanza el malware desde el software gratuito disponible en sitios web populares como Softpedia y uptodown

• El malware cuenta con imitaciones de aplicaciones que son populares, pero que no tienen versiones reales de escritorio, como Google Translate

•  

• Las víctimas son de diferentes países como Reino Unido, Estados Unidos, Sri Lanka, Grecia, Israel, Alemania, Turquía, Chipre, Australia, Mongolia y Polonia

DESCARGAR GACETILLA EN FORMATO WORD + IMÁGENES

Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, descubrió una campaña activa de minería de criptomonedas que imita a Google Desktop Translate y otros softwares gratuitos para infectar los PCs. Creada por una entidad de habla turca llamada Nitrokod, la campaña ya tiene unas 111.000 víctimas en 11 países desde 2019.

La campaña lanza el malware desde software gratuito disponible en sitios web populares como Softpedia y uptodown. Además, el software malicioso también puede encontrarse fácilmente a través de Google cuando los usuarios buscan «Google Translate Desktop download». Tras la instalación inicial del software, los atacantes retrasan el proceso de infección durante semanas, eliminando los rastros de la instalación original.

Figura 1. Resultados principales para «Google Translate Desktop download»

Sin ser detectado durante años

La campaña operó con éxito durante años. Para evitar su detección, los autores de Nitrokod implementaron algunas estrategias clave: 

• El malware se ejecuta por primera vez casi un mes después de la instalación del programa Nitrokod
• El malware se entrega después de 6 etapas anteriores de programas infectados
• La cadena de infección continúa tras un largo retraso utilizando un mecanismo de tareas programadas, lo que da tiempo a los atacantes a eliminar todas sus pruebas

Cadena de infección

• La infección comienza con la instalación de un programa infectado descargado de la web
• Una vez que el usuario lanza el nuevo software, se instala una aplicación real de imitación de Google Translate. Además, se suelta un archivo de actualización en el disco que inicia una serie de cuatro droppers hasta que se suelta el malware real
• Una vez ejecutado el malware, éste se conecta a su servidor de C&C (Comando y Control) para obtener una configuración para el programa de minado de criptomonedas XMRig e inicia la actividad

Consejos de ciberseguridad

Para estar siempre protegidos y ser precavidos ante cualquier forma de ataque, desde Check Point dan estos consejos: 

• Tener cuidado con los dominios parecidos, los errores ortográficos en los sitios web y los remitentes de correo electrónico desconocidos
• Descargar software sólo de editores y proveedores autorizados y conocidos
• Prevenir los ataques de día cero con una arquitectura cibernética integral, de principio a fin
• Asegúrate de que la seguridad del endpoint está actualizada y proporciona una protección completa

“Hemos descubierto un sitio web que ofrece versiones maliciosas a través de imitaciones de aplicaciones para PC, incluyendo Google Desktop y otras, que incluyen un programa de minería de criptomonedas. Las herramientas maliciosas pueden ser utilizadas por cualquiera. Se pueden encontrar mediante una simple búsqueda en la web, se descargan desde un enlace y su instalación es un simple doble clic. Sabemos que las herramientas han sido creadas por un desarrollador de habla turca”, destaca Maya Horowitz, vicepresidenta de Investigación en Check Point Software. “Lo más interesante para mí es el hecho de que el software malicioso es muy popular, y sin embargo pasó desapercibido durante mucho tiempo. Hemos bloqueado la amenaza para los clientes de Check Point, y publicamos este informe para que otros puedan estar protegidos también”.

 

---

 

Acerca de Check Point Research

Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs. 

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder de soluciones de ciberseguridad para empresas corporativas y gobiernos a nivel mundial. La cartera de soluciones de Check Point Infinity protege a las empresas y organizaciones públicas de los ciberataques de quinta generación con una tasa de captura líder en la industria de malware, ransomware y otras amenazas. Check Point Infinity se compone de tres pilares fundamentales que ofrecen una seguridad sin compromisos y una prevención de amenazas de quinta generación en todos los entornos empresariales: Check Point Harmony, para usuarios remotos; Check Point CloudGuard, para proteger automáticamente la nube; y Check Point Quantum, para proteger los perímetros de la red y los centros de datos, todo ello controlado por la gestión de seguridad unificada más completa e intuitiva del sector. Check Point Software protege a más de 100.000 empresas de todos los tamaños.

©2022 Check Point Software Technologies Ltd. Todos los derechos reservados.