Kovter

¿Qué es?

Kovter es un malware de tipo troyano clicker con capacidades de ransomware (sólo locker) y de downloader, que se enfoca en infectar dispositivos Windows para generar monetización de manera ilícita a través del fraude publicitario (ad fraud), la extorsión por pérdida de datos y la distribución de otras amenazas. Además, proporciona una puerta trasera a los atacantes con la que incluir el dispositivo como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

Genera clics de ratón y vistas falsas en segundo plano para realizar fraude publicitario y monetización por impresiones.
Genera persistencia prácticamente sin ficheros (fileless), mediante módulos y scripts en el Registro y su ejecución con PowerShell y Mshta.
Descarga e instala archivos maliciosos y payloads adicionales y mantiene comunicaciones con servidores de mando y control (C2).
Modifica la configuración de seguridad de los navegadores y sistemas y roba información básica asociada a su actividad.
Bloquea los sistemas con pantallas falsas que simulan multas de fuerzas policiales para coaccionar el pago de sus víctimas.
Posee capacidad de cifrado de datos sencillo (fácil de romper).

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos, sobre todo, a través de correos de phishing y malspam con archivos adjuntos con macros maliciosas y/o enlaces web comprometidos, a través de publicidad engañosa (malvertising) que redirige a sitios web comprometidos y a través de sitios web maliciosos.