Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es Ice Breaker?

Ice Breaker es un malware de tipo backdoor escrito en Node.js. Las campañas con este programa malicioso fueron identificadas por primera vez en 2022 por Security Joes. Estos ataques estaban dirigidos a las industrias del juego y las apuestas y eran particularmente reconocibles debido a las técnicas de ingeniería social empleadas por los ciberdelincuentes.

En el momento de escribir estas líneas, no se ha identificado a los autores de las campañas Ice Breaker como pertenecientes a un grupo de hackers o región geográfica específicos. Sin embargo, hay indicios que sugieren que estos delincuentes no son angloparlantes nativos.

¿Qué tipo de malware es NEVADA?

NEVADA es el nombre de un ransomware dirigido a sistemas operativos Windows y Linux. Está escrito en el lenguaje de programación Rust. NEVADA cifra los archivos, añade la extensión ".NEVADA" a los nombres de archivo y deposita su nota de rescate (el archivo "readme.txt") en las carpetas que contienen los archivos cifrados.

Un ejemplo de cómo el ransomware NEVADA modifica los nombres de los archivos: cambia "1.jpg" por "1.jpg.NEVADA", "2.doc" por "2.doc.NEVADA", y así sucesivamente. Los ciberdelincuentes que han desarrollado NEVADA lo venden utilizando el modelo RaaS (ransomware como servicio).

¿Qué tipo de correo electrónico es "Please Find Attached My CV"?

Tras inspeccionar este correo electrónico "Please Find Attached My CV", hemos determinado que se trata de malspam. Este mensaje de spam se presenta como un CV enviado por una persona interesada en trabajar para la empresa del destinatario. El archivo adjunto a este correo electrónico está diseñado para infectar dispositivos con el malware Agent Tesla.

¿Qué es el ransomware Honkai (Paradise)?

Nuestros investigadores descubrieron el ransomware Honkai mientras inspeccionaban nuevos envíos a VirusTotal. Este programa malicioso forma parte de la familia de ransomware Paradise.

Cuando ejecutamos una muestra del ransomware Honkai (Paradise) en nuestro sistema de pruebas, empezó a cifrar archivos y a modificar sus títulos.

A los nombres de archivo originales se les añadía un identificador único asignado a la víctima, la dirección de correo electrónico de los ciberdelincuentes y la extensión ".honkai". Por ejemplo, un archivo llamado "1.jpg" aparecía como "1.jpg[id-f48tSVGB].[main@paradisenewgenshinimpact.top].honkai".

Después, el ransomware presentaba un mensaje de petición de rescate titulado "#DECRYPT MY FILES#.html" en el escritorio.

¿Qué tipo de página es link2captcha[.]top?

Al comprobar sitios web sospechosos, nuestros investigadores descubrieron la página web fraudulenta link2captcha[.]top. Promueve las notificaciones de spam en el navegador utilizando una verificación CAPTCHA falsa. Además, esta página puede redirigir a los usuarios a diferentes sitios web (probablemente poco fiables o dañinos).

La mayoría de los usuarios acceden a páginas web como link2captcha[.]top a través de redireccionamientos provocados por sitios que utilizan redes publicitarias fraudulentas.

¿Qué es GoogleUpdate?

GoogleUpdate es un programa malicioso que encontramos tras instalar un programa falso descargado de una página web engañosa. El instalador también incluía adware. Por lo tanto, si GoogleUpdate está presente en el sistema, es probable que también se haya infiltrado otro contenido no deseado o malicioso.

¿Qué es Lumma?

Lumma es un software malicioso clasificado como stealer. Los programas maliciosos de esta categoría están diseñados para robar datos confidenciales. Estos programas son capaces de filtrar datos de los sistemas infectados y de las aplicaciones instaladas en ellos. Las amenazas que plantean los robos pueden ser muy amplias y dependen de las capacidades del programa, de la información disponible en los dispositivos de las víctimas y de los objetivos de los ciberdelincuentes.

¿Qué es la estafa por correo electrónico "Unusual Sign-in Activity"?

Tras examinar este correo electrónico, descubrimos que los estafadores intentan engañar a los destinatarios para que proporcionen sus credenciales de inicio de sesión. Afirman que la cuenta de correo electrónico se ha suspendido debido a una actividad inusual de inicio de sesión. Su objetivo es engañar a los destinatarios para que abran la página proporcionada e introduzcan sus contraseñas.

¿Qué es PrintManager?

Mientras revisaban sitios web poco fiables, nuestros investigadores descubrieron un programa de instalación incluido con el programa malicioso PrintManager. Además, este instalador estaba empaquetado con adware. Por tanto, si se detecta una infección por PrintManager, es probable que se hayan infiltrado en el sistema otros componentes no deseados o maliciosos.

¿Qué tipo de estafa es "ShibaInu AirDrop"?

Nuestra investigación ha revelado que se trata de un sitio web fraudulento cuyo objetivo es obtener información de acceso a criptocarteras. Proporcionar información en este tipo de páginas conlleva pérdidas económicas y posibles problemas adicionales, por lo que esta página fraudulenta debería ignorarse. Nuestro equipo descubrió que los estafadores promueven esta estafa a través del correo electrónico (y posiblemente otros canales).