Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es "Microsoft Ending Promotion Award"?

Después de revisar este correo electrónico, nos hemos dado cuenta de que se trata de un mensaje fraudulento que afirma falsamente ser de Microsoft. Los estafadores que están detrás de esta estafa intentan engañar a los destinatarios afirmando que han ganado una gran cantidad de dinero. Su objetivo es atraer a los destinatarios para que compartan información personal y potencialmente envíen dinero.

¿Qué tipo de malware es ZenRAT?

ZenRAT es el nombre de un troyano de acceso remoto (RAT) que existe desde al menos el verano de 2023. Este malware tiene capacidades de robo de datos y puede implementar módulos para funciones adicionales. Esto último significa que este troyano puede transformarse en una pieza de software malicioso muy versátil.

Se ha observado que ZenRAT se distribuye a través de un sitio web falso de Bitwarden. Debe subrayarse que ni el sitio ni el RAT están asociados en modo alguno con el servicio Bitwarden real.

¿Qué tipo de malware es BBTok?

BBTok es un troyano bancario escrito en Delphi equipado con funcionalidades especializadas que imitan las interfaces de más de 40 bancos mexicanos y brasileños. Sus tácticas engañosas consisten en inducir a las víctimas a divulgar sus códigos 2FA para cuentas bancarias o sus números de tarjetas de pago.

Además, BBTok cuenta con capacidades como la enumeración y terminación de procesos, el control de las funciones del teclado y el ratón, y la manipulación del contenido del portapapeles.

¿Qué es "Switch To New Version"?

Tras un análisis, hemos determinado que el propósito de este correo electrónico es engañar a los destinatarios para que revelen su información personal. Estos correos electrónicos se clasifican como intentos de phishing y, en este caso concreto, los autores se hacen pasar por un proveedor de servicios de correo electrónico para persuadir a los destinatarios de que divulguen datos confidenciales en una página fraudulenta.

¿Qué tipo de malware es IRATA?

IRATA es el nombre de un malware específico para Android. Este programa tiene capacidades de programa espía y stealer. Se descubrió tras un ataque de smishing (phishing por SMS) en Irán. Esta campaña consistía en enviar SMS de apariencia legítima que contenían un enlace a una página web gubernamental falsa. La página instaba a los visitantes a descargar una aplicación y pagar una cuota por el servicio.

Cabe destacar que IRATA tiene la capacidad de crear una botnet a partir de dispositivos infectados y utilizarla para autoproliferarse a través de mensajes de texto spam.

¿Qué tipo de malware es LostTrust?

LostTrust es el nombre de una variante de ransomware descubierta por nosotros mientras examinábamos muestras de malware enviadas a VirusTotal. El objetivo de LostTrust es cifrar los datos para hacerlos inaccesibles a las víctimas. Además, LostTrust añade la extensión ".losttrustencoded" a los nombres de archivo y entrega una nota de rescate ("!LostTrustEncoded.txt").

Un ejemplo de cómo LostTrust modifica los nombres de archivo: cambia "1.jpg" por "1.jpg.losttrustencoded", "2.png" por "2.png.losttrustencoded", etc.

¿Qué tipo de software es ChatGPT Check?

Nuestro equipo de investigación descubrió la extensión de navegador ChatGPT Check mientras investigaba sitios web no fiables. Encontramos una página que promocionaba una configuración de instalación que contenía esta extensión y la página promocional "oficial" de ChatGPT Check.

Esta última la describía como una herramienta para aquellos que no quieren crear una cuenta o pagar por ChatGPT, ya que esta extensión de navegador no requiere registrarse y permite tres búsquedas diarias utilizando el chatbot de IA (Inteligencia Artificial) de forma gratuita. Sin embargo, tras analizar este software, hemos determinado que se trata de un secuestrador del navegador que promociona el falso motor de búsqueda chatcheckext.com.

Debemos enfatizar que esta extensión no está asociada con ChatGPT o su desarrollador – OpenAI.

¿Qué tipo de software es NXD Fix?

Mientras investigábamos sitios engañosos, descubrimos un instalador que contenía la extensión de navegador NXD Fix. Este programa está clasificado como secuestrador del navegador.

Sin embargo, NXD Fix no funciona como un secuestrador normal, es decir, no modifica la configuración del navegador ni redirige sistemáticamente a motores de búsqueda falsos. En determinadas circunstancias, NXD Fix promociona nxdfix.com.

¿Qué es Realst?

Realst, un malware para Mac descubierto recientemente, se ha convertido en el centro de atención de una campaña a gran escala dirigida a los ordenadores de Apple. Resulta especialmente preocupante que algunas de sus versiones más recientes estén diseñadas para explotar macOS 14 Sonoma, el próximo sistema operativo que aún se encuentra en fase de desarrollo.

¿Qué tipo de malware es Deep (Phobos)?

Mientras inspeccionaban los nuevos registros en el sitio web VirusTotal, nuestros investigadores descubrieron el programa de tipo ransomware Deep. Forma parte de la familia de ransomware Phobos. Deep (Phobos) cifra los datos y exige un pago para descifrarlos.

En nuestra máquina de pruebas, este ransomware cifró archivos y les cambió el nombre. A los nombres de archivo originales se les añadía un identificador único asignado a la víctima, la dirección de correo electrónico de los ciberdelincuentes y la extensión ".deep". Por ejemplo, un archivo inicialmente titulado "1.jpg" aparecía como "1.jpg.id[9ECFA84E-3352].[captain-america@tuta.io].deep".

Una vez finalizado el proceso de cifrado, se creaban o mostraban notas de rescate en una ventana emergente ("info.hta") y en un archivo de texto ("info.txt").