Según han revelado recientemente unos informes de diversos expertos en seguridad, el malware H1N1 poco a poco se está convirtiendo en un denominado “Infostealer” cada vez más avanzado.
Esto quiere decir que H1N1 está evolucionando para convertirse en un software que se encarga de infectar nuestros equipos para posteriormente comenzar a descargar malware de otros tipos y de ese modo ir extendiéndose por el mismo y por los PCs conectados a su red. Gracias a su última actualización, cada vez es más invisible a los software de seguridad especializados como los antivirus. De este modo, una vez ha penetrado en el sistema, es cuando comienza realmente su ataque y descarga e instala otros códigos maliciosos más potentes.
De acuerdo con estos informes, las versiones más recientes de H1N1 contienen una serie de características que en teoría lo colocarían en la categoría de “Infostealer”. Esto se debe entre otras cosas a que este código ahora incluye un nuevo ataque bypass UAC (User Acess Control) utilizando una novedosa técnica de secuestro de datos que hacen que la ingeniería inversa para la «limpieza» de la infección sea mucho más difícil. Además la cosa no acaba aquí, sino que ya ha sido preparado para autopropagarse por los equipos cercanos que formen parte de la misma red, todo ello a través de los recursos compartidos de la misma o a través de las unidades USB.
Actualizaciones cada vez más potentes
Pero quizá lo más importante es que el H1N1, con la última actualización descubierta esta misma semana, tiene la capacidad de recoger información de los sistemas infectados y enviarla cifrada a un servidor central C & C utilizando el algoritmo RC4. Entre esta se pueden destacar los datos de inicio de sesión de los navegadores de Internet, credenciales de correo electrónico y todo tipo de datos confidenciales. Por otro lado los investigadores también han detectado que este malware desactiva todas las opciones de recuperación del sistema por medio de comandos que habitualmente utiliza el ransomware, aunque de momento no se han encontrado evidencias de que H1N1 cargue este tipo específico de malware, aunque tampoco es descartable.
Se ha podido comprobar que una de las principales fuentes de entrada de este código malicioso ha venido en una reciente avalancha de spam que se encarga de propagar la nueva versión. Los ciberdelincuentes están distribuyendo correos electrónicos que adjuntan un archivo .doc con el malware y que utiliza el viejo truco de la activación de macros para ejecutar una secuencia de comandos VBA que lo descarga e instala. Por el momento la campaña actual se ha centrado en organizaciones del sector financiero, comunicaciones o gubernamentales, atrayendo a los empleados a través del correo electrónico.
Por todo ello se teme que detrás de este ataque estén vinculados otras operaciones de malware como el troyano Bayrob, el malware bancario Rovnix, la variante del troyano bancario Zeus, Virut o incluso algunas versiones genéricas de ransomware. Además se especula con que lo peor aún está por llegar en las próximas semanas con nuevas y más avanzadas actualizaciones.
Quizá también te interese:
Guerrilla, el malware que se salta la protección de Google Play en dispositivos rooteados
Nuevo malware que hackea tu cuenta bancaria y bloquea la llamada al banco
Ranscam: el nuevo malware que se hace pasar por ransomware
Un nuevo malware ataca los TPV, poniendo en riesgo tus pagos