Estamos sufriendo los efectos de una pandemia, el mundo está tratando de no colapsar, sin embargo ahora no basta sólo con cuidarnos fisicamente de este virus sino que ahora también debemos hacerlo digitalmente. Un cracker ha construido un nuevo malware que consiste en una simulación de ransomware de nombre CoronaVirus y un troyano llamado Kpot, este último se encarga de robar la información de los ordenadores infectados.
Este nuevo virus ha sido descubierto por MalwareHunterTeam, luego de algunos análisis se ha descubierto el funcionamiento de este virus, aquí te las resumimos.
PROPAGACIÓN
WiseCleaner es un programa para limpieza del sistema Windows, totalmente legítimo y funcional, pero este cracker ha creado un sitio falso para simular ser el original de donde podíamos adquirir este programa, aquí una captura de esta fake web.
Las descargas en este sitio no están activadas, pero se ha distribuido un archivo llamado WSHSetup.exe, mediante el cual se simula una descarga fiable para el Ransomware CoronaVirus y un troyano que roba contraseñas llamado Kpot que ya habíamos mencionado.
Cuando se ejecuta este archivo, automaticamente intentará descargar una variedad de archivos desde un sitio web remoto. a día de hoy, solo el archivo1.exe y el archivo2.exe están disponibles para descargarse, pero en la siguiente imagen se puede apreciar que se intenta descargar un total de siete archivos.
FUNCIONAMIENTO
Habíamos mencionado que se descargan 2 archivos de un total de 7, el primer archivo es el llamado Kpot, encargado de robar la información del computador, cuando sea ejecutado, intentará robar cookies y credenciales de inicio de sesión de navegadores web, programas de mensajería, VPN, FTP, cuentas de correo electrónico, cuentas de juegos como Steam,Battle.net, etc. Este malware también tomará una captura de pantalla del escritorio activo e intentará robar billeteras de criptomonedas almacenadas en la computadora infectada. Toda esta información se enviará a un servidor remoto de propiedad de este cracker.
El segundo archivo corresponde al mencionado CoronaVirus, simula ser un rasonware, por ello su comportamiento es el mismo, cifra los archivos del ordenador, en este caso se ha podido identificar cuales son los archivos que tomará para su encriptación, los cuales son:
Los archivos cifrados seguirán teniendo la misma extensión, pero el nombre del archivo se cambiará a la dirección de correo electrónico del atacante. Por ejemplo, gracias a BleepingComputer, podemos ver que un archivo llamado test.jpg se cifraría y cambiaría su nombre a ‘coronaVi2022@protonmail.ch___1.jpg’.
Además de ello, cambiará el nombre de la unidad del disco C, disco donde se instala el Sistema Operativo, en este caso, Windows, y le colocará de nombre CoronaVirus, luego de ello, tambien se creará un archivo de texto con información sobre el pago a realizar para poder recuperar los archivos.
Si reiniciamos el computador, veremos el mismo contenido de este archivo de texto pero esta vez se mostrará en una pantalla cuando encienda el ordenador, esto sucede por que realiza un cambio en el menú de arranque del sistema.
Luego de 45 minutos aproximadamente, se mostrará otro mensaje en la pantalla.
Y no es sino después de 15 minutos más que nuestro computador iniciará de manera normal el sistema operativo, por lo que según BleepingComputer, todo esto no sería más que una distracción para que el malware Kpot robe la información que tenga el ordenador y esta sea enviada a los servidores del cracker.
Aún no se sabe mucha mas información sobre este virus que también nos está amenazando, por ahora se ha detectado que apareció en China en el mes de Febrero y posteriormente se ha detectado en Italia, por lo pronto esperamos que no se siga extendiendo y al ya haber sido detectado todo su funcionamiento, no demorará en desaparecer y que todo pase a ser un nuevo intento de poder generar pánico en las personas.
Otros Posts
Defectos en los SDK de Realtek Wi-Fi afectan a casi un millón de dispositivos
