El software espía Fauxpersky se hace pasar por Kaspersky AV

Los investigadores en seguridad de la información descubrieron un registrador de teclas y ladrón de información basado en Windows que postula falsamente como software antivirus de Kaspersky y se propaga a través de dispositivos USB infectados.

El malware, etiquetado como Fauxpersky, también está escrito utilizando herramientas AutoHotKey (AHK) que, en circunstancias normales, se usarían para crear atajos de teclado.

kaspersky sp

Según una publicación de Cybereason, Fauxperksy aprovecha las capacidades de AHK para leer textos de Windows y enviar pulsaciones de teclas a otras aplicaciones. Está compuesto por cuatro ejecutables colocados dentro de un directorio etiquetado como “Kaspersky Internet Security 2017”. Este directorio también contiene un archivo Readme.txt y una imagen PNG que muestra un logotipo de Kaspersky como una pantalla de presentación cuando una máquina infectada inicia sesión en Windows. Esta imagen pretende engañar a los usuarios haciéndoles creer que el antivirus de Kaspersky se está ejecutando activamente.

El archivo Readme.txt presenta instructores para que los usuarios desactiven su programa antivirus si no pueden abrir sus carpetas o archivos correctamente, seguidos por una larga lista de productos de seguridad que supuestamente son incompatibles con el producto Kaspersky que los usuarios creen que se ha instalado.

A los cuatro ejecutables principales se les asigna un nombre que se parece a un archivo de sistema de Windows: Explorers.exe, Svhost.exe, Taskhost.exe y Spoolsvc.exe. El primer componente, Explorers.exe, es responsable de la autopropagación y la persistencia, que se extiende desde máquinas host a unidades externas conectadas a través de la replicación de archivos.

Svhost.exe utiliza las funciones de AHK para supervisar la ventana activa en la que se encuentra una persona infectada y luego registra las pulsaciones de teclas que ingresan en esa ventana. Taskhost.exe es responsable de crear el malicioso directamente y maneja la persistencia, mientras que Spoolsvc.exe también proporciona cierta persistencia y realiza la exfiltración de datos de los datos de keylogged en un formulario de Google.

“Exfiltrar datos a un formulario de Google es una forma muy simple e inteligente de superar una gran parte de la logística involucrada en la filtración de datos”, afirma el mensaje. “El uso de esta técnica significa que no hay necesidad de mantener un servidor de comando y control anónimo y las transmisiones de datos a docs.google.com están encriptadas y no parecen sospechosas en varias soluciones de monitoreo de tráfico”.

“Este malware no es de ninguna manera avanzado o incluso muy sigiloso. Sus autores no hicieron ningún esfuerzo para cambiar ni siquiera las cosas más triviales, como el icono de AHK que está adjunto al archivo”, concluye la publicación. “Sin embargo, este malware es muy eficiente para infectar unidades USB y recopilar datos del registrador de pulsaciones de teclas, lo que lo filtra a través de Google Forms y lo deposita en la bandeja de entrada del atacante”. Los profesionales de la seguridad de la información comunicaron que el equipo de seguridad de Google eliminó el formulario Google malicioso casi inmediatamente después de que se le revelara.