Ningún servicio está libre de sufrir un hackeo, y sino que se lo pregunten a los responsables del servicio online Crunchyroll.com. Una de las referencias para los usuarios que les gusta el anime ha visto como su seguridad se veía comprometida, distribuyendo malware durante las últimas horas. Los responsables han pasado todo el día de ayer buscando una solución al problema.
Sin ir más lejos, el servicio permaneció fuera de servicio gran parte del día de ayer, momento en el que se detectó que algo no funcionaba de forma correcta. Para ser más exactos, una vez el usuario había accedido a la web, en determinadas opciones del menú se ofrecía la posibilidad de probar una nueva aplicación de escritorio, algo totalmente inexistente. Muchos usuarios aceptaron la prueba. Es decir, se realizó la descarga del malware en el equipo.
Indicar que la amenaza solo afecta a los usuarios que posean un equipo con sistema operativo Windows.
Fue la propia empresa la que se percató de que algo no funcionaba de forma correcta. Sin embargo, esto no termina aquí. Desde los responsables del servicio indican que no existe ningún tipo de hackeo. No busca justificar la puesta fuera de servicio, pero indican que la descarga de ese malware se debe a una modificación de las direcciones DNS en los equipos de los usuarios. Esto no concuerda con la versión emitida por diferentes expertos en seguridad.
Por el momento, desde Crunchyroll.com están evitando ofrecer cualquier detalle al respecto.
Detalles sobre el malware disponible en Crunchyroll.com
Obviamente, existen pruebas de que no existe ningún problema en el equipo de los usuarios. A continuación, te ofrecemos todos los detalles.
En primer lugar, una vez descargado el ejecutable, si se realiza su ejecución se produce una extracción de archivos en el directorio %AppData%. Dentro de este se pueden encontrar varios ejecutables relacionados con el malware que se ejecutarán. El más importante es el que posee el nombre Crunchyroll.exe, codificado utilizando base 64.
Pero la realidad es que no se conocen muchos detalles al respecto. Para ser más exactos, llegados a este punto no existe una hoja de ruta para saber a ciencia cierta cuál es la actividad desarrollada por la amenaza. Son varios los expertos en seguridad que apuntan a que nos encontramos ante un simple keylogger, aunque no es una información confirmada aún.
¿Se puede eliminar de forma sencilla?
Todo parece indicar a que la tarea de eliminación no resulta excesivamente complicada, o al menos eso parece. Lo que sí es un problema es que la mayoría de las herramientas de seguridad no son capaces de detectar la amenaza.
Por este motivo, toca llevar a cabo el proceso a mano.
Debemos acudir al registro de Windows tecleando regedit. Una vez hemos accedido debemos buscar la ubicación siguiente:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Debemos buscar un valor llamado Java. Una vez lo hemos encontrado, debemos llevar a cabo su eliminación, pulsando sobre él con el botón derecho del ratón. Una vez eliminado este elemento, volvemos a la carpeta %AppData% para eliminar el ejecutable svchost.exe. Después de esta acción, sería suficiente llevar a cabo un análisis con una herramienta de seguridad para garantizar que hemos eliminado la amenaza de nuestro equipo de forma correcta.
Si has estado afectado por este malware, teniendo en cuenta que parece que su principal función es la de un keylogger, sería conveniente modificar también las contraseñas asociadas a los servicios que utilizamos desde el PC afectado.
Fuente:https://www.redeszone.net/2017/11/06/servicio-crunchyroll-com-distribuye-malware-las-ultimas-horas/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad