Los piratas informáticos buscan constantemente crear nuevos malware lo más molestos y persistentes posibles que garanticen que, aunque el usuario lo intente, no van a lograr eliminarlo o desactivarlo. En una informática cada vez más enfocada a Internet, los piratas informáticos han empezado a crear nuevas aplicaciones maliciosas escritas en JavaScript que se ejecutan en tiempo real en el ordenador son tan solo visitar una web.
Recientemente, un grupo de investigadores de seguridad han detectado un nuevo malware escrito en este lenguaje de programación que se encarga automáticamente de cambiar la página de inicio del navegador (para cargarse automáticamente con tan solo abrir el navegador) y, además, cuenta con una serie de funciones que, en caso de intentar cerrar el proceso del malware, este apaga el ordenador por completo.
Malware escrito en JavaScript similar a este lleva apareciendo desde 2014, sin embargo, esta es la primera vez que se detecta un malware tan avanzado, complejo y peligroso. Además de una alta ofuscación (al no estar cifrado como un binario, utiliza la técnica de la ofuscación) este script oculta varios payloads que llevan a cabo varias acciones en el ordenador de la víctima.
Los diferentes pasos que realiza este malware son:
- Crea una nueva carpeta en el sistema, llamada AppDataRoaming, y la oculta con una clave de registro.
- Copia el archivo “wscript.exe” de Windows y lo pega en la carpeta anterior con un nombre aleatorio.
- Se copia a sí mismo en dicha carpeta y añade un acceso directo a la carpeta “Inicio”, llamado como “Start” del menú inicio de Windows.
- Se asigna a sí mismo un icono de carpeta para ocultar que, en realidad, “Start” es un archivo.
- Comprueba si hay conexión a Internet conectándose a Bing, Google y Microsoft.
- Si la hay, envía datos de telemetría a un servidor y descarga de él un archivo script.
- Este nuevo script cambia la página de inicio de nuestros navegadores.
- Utiliza la herramienta de Windows WMI (Windows Management Instrumentation) para encontrar posible software de seguridad instalado.
- Si detecta software de seguridad, el malware se cierra con un falso mensaje de error para no ser detectado.
- Si permanece instalado y el usuario encuentra e intenta finalizar el proceso wscript.exe, el ordenador se apaga automáticamente.
- Al volver a encender, al haberse copiado antes en la carpeta “Inicio” del menú inicio de Windows, el malware vuelve a cargarse en la memoria.
Cómo eliminar este malware escrito en JavaScript
En caso de estar infectado por este malware, la mejor forma de eliminarlo es, simplemente,reiniciar nuestro sistema en modo seguro o a prueba de fallos y, desde allí, buscar su entrada en el menú inicio llamada, como hemos dicho, “Start” y eliminarla.
De esta manera, cuando volvamos a arrancar nuestro ordenador con normalidad, el malware no se ejecutará de nuevo y podremos utilizar cualquier software de seguridad para detectarlo y eliminarlo.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad