Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué tipo de malware es Zaraza?

Zaraza es el nombre de un malware de tipo stealer. Los programas de esta clasificación actúan extrayendo (robando) información de los sistemas infectados y de las aplicaciones instaladas. Los stealers pueden dirigirse a detalles específicos o a una amplia gama de datos. En cualquier caso, un malware como Zaraza supone una grave amenaza para la privacidad de los usuarios.

¿Qué es el RAT ViperSoftX?

ViperSoftX es un troyano de acceso remoto (RAT) basado en JavaScript. El malware de este tipo permite el acceso remoto sigiloso y el control de una máquina infectada. Estos troyanos pueden tener una amplia variedad de funcionalidades peligrosas, lo que permite un uso indebido igualmente variado del dispositivo comprometido.

El propósito principal de ViperSoftX es robar transacciones de criptomoneda, sin embargo, tiene otras características también. ViperSoftX infecciones RAT representan una amenaza significativa para la seguridad del ordenador y el usuario.

¿Qué es el RAT 888?

888 (también conocido como LodaRAT y Gaza007) es un troyano de acceso remoto (RAT) dirigido a sistemas operativos Android. Los troyanos de este tipo permiten el acceso/control remoto de los dispositivos infectados.

Inicialmente, los desarrolladores del 888 RAT ofrecieron este software malicioso a la venta como malware del SO (sistema operativo) Windows. En 2018, el programa se presentó como un constructor de RAT para SO Android y más tarde - como uno destinado a SO Linux. Sin embargo, en 2019 una variante de Android 888 RAT se hizo disponible de forma gratuita.

Este RAT está asociado a dos grupos cibercriminales: Kasablanka y BladeHawk. Según los investigadores de ESET, este último es responsable de una campaña de ciberespionaje dirigida a la etnia kurda y sus simpatizantes. El 888 RAT proliferó bajo la apariencia de aplicaciones legítimas promocionadas en grupos de Facebook de contenido pro-kurdo.

En el momento de redactar este informe, se han eliminado las cuentas y publicaciones que propagaban 888 RAT. Sin embargo, no es improbable que haya otros proliferadores y métodos de propagación.

¿Qué tipo de página es colamecola[.]biz?

Durante nuestro análisis de sitios web cuestionables, nos encontramos con colamecola[.]biz. Nuestra revisión de este sitio reveló que es una página de poca confianza que engaña a los visitantes para que le permitan enviar notificaciones. Además, colamecola[.]biz podría redirigir a los visitantes a otras páginas poco fiables.

¿Qué es CovidDash?

Durante una investigación rutinaria de sitios web sospechosos, nuestro equipo de investigación descubrió una configuración maliciosa que promocionaba la extensión de navegador CovidDash (título completo: "CovidDash at Johns Hopkins University"). Se promociona como una herramienta para acceder fácilmente a información relacionada con la pandemia COVID-19.

Tras inspeccionar esta pieza de software, determinamos que funciona como secuestrador del navegador y provoca redireccionamientos al falso motor de búsqueda coviddashboard.extjourney.com.

Es pertinente mencionar que el instalador también promovía la estafa "Abnormal Network Traffic On This Device".

Evite perder su cuenta de correo electrónico a través de un falso mensaje de "Purchase Confirmation"?

Tras inspeccionar el mensaje de correo electrónico de "Purchase Confirmation", hemos determinado que se trata de spam. Este correo se presenta como un mensaje de confirmación de compra. Supuestamente contiene documentación relevante; sin embargo, cuando se sigue el enlace proporcionado, se redirige a un sitio web de phishing que tiene como objetivo las credenciales de inicio de sesión de la cuenta de correo electrónico.

¿Qué tipo de estafa es "Abnormal Network Traffic On This Device"?

Mientras inspeccionábamos sitios web sospechosos, nuestro equipo de investigación descubrió una instalación maliciosa que promocionaba la estafa "Abnormal Network Traffic On This Device". Cabe destacar que el instalador también promocionaba el secuestrador del navegador CovidDash, así como otras aplicaciones dudosas.

Tras ejecutar el archivo malicioso, apareció una ventana emergente. El mensaje que contenía estaba disfrazado de alerta de Microsoft. La falsa advertencia afirmaba que, debido a un tráfico de red sospechoso, el dispositivo del usuario había sido bloqueado de la red. El objetivo de esta ventana emergente fraudulenta es engañar a las víctimas para que visiten un sitio web de phishing.

¿Qué es la red de bots DAAM?

DAAM es una red de bots (botnet) de Android que se ha utilizado desde 2021 para obtener acceso no autorizado a los dispositivos objetivo. Los ciberdelincuentes la emplean para llevar a cabo diversas operaciones maliciosas. Con la botnet DAAM Android, los delincuentes pueden enlazar código dañino con una aplicación genuina utilizando su servicio de enlace APK.

¿Qué es el ransomware CRYPTNET?

Nuestro equipo de investigación descubrió el ransomware CRYPTNET mientras inspeccionaba nuevos registros en VirusTotal. Una vez que ejecutamos una muestra de CRYPTNET en nuestra máquina de pruebas, cifró los archivos y añadió a sus nombres una extensión con cinco caracteres aleatorios.

Por ejemplo, en nuestro sistema, un archivo inicialmente titulado "1.jpg" aparecía como "1.jpg.3cWkR", "2.png" como "2.png.1PLui", y así sucesivamente. Después, el ransomware cambiaba el fondo de escritorio y creaba una nota de rescate llamada "RESTORE-FILES-[caracteres_aleatorios].txt".

¿Qué tipo de aplicación es RichExts?

Tras analizar la aplicación RichExts, hemos determinado que se trata de una extensión de navegador diseñada para apoderarse de los navegadores web (secuestrarlos). La aplicación altera la configuración del navegador para introducir a la fuerza un motor de búsqueda falso (sweetrnd.net). Además, RichExts posee la capacidad de acceder a ciertos datos.