Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

KasperAgent

¿Qué es?

KasperAgent es un malware de tipo troyano backdoor con características de downloader, que se enfoca en infectar dispositivos Windows para realizar actividades maliciosas orientadas al ciberespionaje. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar ataques de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones sobre los dispositivos infectados:

  • Permite el control remoto y la ejecución de comandos arbitrarios en los sistemas comprometidos.
  • Actúa como una herramienta de reconocimiento y de descarga para desplegar cargas adicionales y potenciar sus actividades maliciosas.
  • Mantiene persistencia mediante la clave Run del Registro de los sistemas operativos con el valor “MediaSystem”.
  • Se disfraza como la aplicación legítima “Adobe Cinema Video Player”.
  • Se comunica con servidores de mando y control (C2) vía HTTP, mediante un scripts PHP, con ofuscación básica de cadenas y un user-agent no estándar.
  • Roba contraseñas almacenadas en los navegadores Firefox y Chrome.
  • Registra pulsaciones de teclas (keylogging) y realiza capturas de pantalla de la actividad de los usuarios para obtener información sensible.
  • Recopila información básica del entorno de los sistemas (usuarios, nombres del equipo, etc.) y enumera las unidades extraíbles, copia ficheros de interés y exfiltra archivos (comprimidos y cifrados).
  • Posee la capacidad de auto-actualizarse.

Sistemas afectados

Los principales dispositivos afectados son:

  • Dispositivos con sistemas Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de campañas de phishing y spear phishing por correo electrónico con enlaces acortados que redirigen a archivos maliciosos, a través de sitios web de “noticias falsas” (fake news) creados por los atacantes y que enlazan a los payloads, a través de documentos señuelo con temática de política local e internacional (autoridades palestinas, tensiones Gaza/Cisjordania, etc.) y a través de páginas de phishing que piden credenciales antes de servir la descarga.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

Compartir en Redes Sociales