Guías para la eliminación de virus y software espía, instrucciones para la desinstalación.

¿Qué es el stealer Luca?

Luca es un software malicioso clasificado como stealer. Este tipo de malware opera extrayendo una amplia gama de datos vulnerables de los dispositivos infectados. El stealer Luca está escrito en el lenguaje de programación Rust.

El código fuente de este programa fue filtrado por su(s) desarrollador(es) el 3 de julio de 2022 - en un foro de hackers, y posteriormente Luca apareció en GitHub.

En el momento de escribir este artículo, los desarrolladores han actualizado este stealer tres veces, y con la accesibilidad pública del malware, es probable que reciba continuas actualizaciones y cambios. Por lo tanto, las capacidades, la distribución y el uso de Luca pueden variar dependiendo de la variante y de los ciberdelincuentes que lo utilicen.

¿Qué es DawDropper?

DawDropper es un software malicioso dirigido a los sistemas operativos Android. Está clasificado como dropper, un tipo de programa diseñado para causar infecciones en cadena (es decir, descargar/instalar otro malware). Este dropper se ha utilizado para infectar dispositivos con varios troyanos bancarios.

Los desarrolladores de DawDropper ofrecen este programa malicioso como un servicio (Malware-as-a-Service [MaaS]) para que los ciberdelincuentes puedan utilizarlo para difundir su software malicioso a cambio de una cuota. DawDropper se ha distribuido activamente en Google Play Store bajo la apariencia de varias aplicaciones de limpieza del sistema, mensajería, edición de imágenes y otras.

¿Qué es una extensión falsa de "Chrome"?

Mientras inspeccionaban sitios web que ofrecían software "crackeado", nuestros investigadores descubrieron una extensión de navegador falsa titulada simplemente "Chrome". Muchas extensiones falsas pueden utilizar este nombre; en general, es habitual que el software fraudulento utilice los nombres y gráficos de productos y empresas legítimos. Normalmente, las aplicaciones y extensiones de navegador engañosas tienen funcionalidades dañinas. La extensión ilegítima de "Chrome" que analizamos tenía capacidades de tipo adware.

¿Qué es el ransomware FILE?

Nuestros investigadores han descubierto un nuevo programa de tipo ransomware perteneciente a la familia Phobos, llamado FILE. El malware de esta categoría opera cifrando los datos para pedir un rescate por el descifrado.

Después de ejecutar una muestra del ransomware File en nuestra máquina de prueba, cifró los archivos y alteró sus títulos. A los nombres originales de los archivos se les añadía un identificador único, la dirección de correo electrónico de los ciberdelincuentes y una extensión ".FILE". Por ejemplo, un archivo llamado "1.jpg" aparecía como "1.jpg.FILE", "2.png" como "2.png.FILE", y así sucesivamente.

Una vez finalizado el cifrado, se creaban o mostraban mensajes de petición de rescate en una ventana emergente ("info.hta") y en un archivo de texto ("info.txt").

¿Qué es LNK/Agent?

LNK/Agent es un nombre de detección para un acceso directo del sistema Windows a un archivo, programa o carpeta maliciosos. Los accesos directos (archivos LNK) detectados como LNK/Agent no contienen carga útil, sino que lanzan ejecutables maliciosos (ejecutan archivos diseñados para infectar ordenadores con malware). Los ciberdelincuentes utilizan los archivos LNK porque son menos sospechosos.

¿Qué es el malware Windows Calculator malware?

Al analizar un correo electrónico que contenía un archivo adjunto malicioso, descubrimos que los delincuentes detrás de Qakbot (también conocido como QBot) utilizan un método de secuestro de DLL para distribuir el malware. En sus ataques abusan de la aplicación Calculadora de Windows 7. Actualmente, se sabe que Qakbot se utiliza como dropper para el ransomware.

¿Qué tipo de correo electrónico es "Meeting Reminder"?

Nuestra inspección del correo electrónico "Meeting Reminder" reveló que es spam. Este correo opera como una estafa de phishing dirigida a las credenciales de inicio de sesión de la cuenta de correo electrónico. Al afirmar falsamente que se ha compartido un documento importante con los destinatarios, esta estafa intenta engañarlos para que revelen sus contraseñas de correo electrónico para ver el archivo inexistente.

¿Qué es DUCKTAIL?

DUCKTAIL es el nombre de un programa malicioso diseñado para robar cuentas de Facebook Business. Los ataques observados han sido muy selectivos.

Las investigaciones de WithSecure Intelligence sugieren que este malware existe desde 2021 y está asociado a ciberdelincuentes vietnamitas. En el momento de escribir este artículo, DUCKTAIL sigue recibiendo actualizaciones, incluyendo nuevas habilidades para evadir las medidas de seguridad de Facebook.

¿Qué es HiddenAds?

Descubierta por los investigadores de Dr. Web, HiddenAds es una familia de malware dirigida a los sistemas operativos Android. Este grupo se compone de numerosas aplicaciones maliciosas; la mayoría funcionan como adware (muestran anuncios), pero algunas también son capaces de suscribir sigilosamente a las víctimas a servicios de tarificación adicional y robar sus cuentas de redes sociales.

En el momento de la investigación, las aplicaciones HiddenAds se difundían activamente a través de Google Play Store, con más de diez millones de descargas. Este software lleva varios disfraces, por ejemplo, juegos, llamadas/mensajes, protección/limpieza del sistema, edición de imágenes/fotos, teclado virtual, fondos de pantalla y otras aplicaciones (la lista de aplicaciones asociadas a HiddenAds se encuentra más abajo).

¿Qué es DevilsTongue?

Investigado por primera vez por el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) en colaboración con Citizen Lab, DevilsTongue es un software malicioso multifuncional escrito en los lenguajes de programación C y C++.

Los resultados del MSTIC sugieren que DevilsTongue está asociado a ciberdelincuentes que desarrollan y venden paquetes de malware y herramientas de hacking para la ciberguerra. Se sospecha que los ciberdelincuentes que están detrás de DevilsTongue, apodados SOURGUM, son un grupo con sede en Israel.

Se cree que el sofisticado material ofrecido por SOURGUM ha sido utilizado para atacar a más de un centenar de víctimas, entre ellas políticos, trabajadores de embajadas, académicos, activistas de derechos humanos, periodistas y disidentes políticos.