Murofet
¿Qué es?
Murofet, también llamado Licat, es un malware de tipo troyano bancario con características de downloader, que se enfoca en infectar dispositivos Windows para robar sus credenciales bancarias y manipular sus transacciones financieras. Se trata de una variante del malware Zeus y, como éste, también proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.
¿Qué hace?
Este malware tiene capacidad para realizar las siguientes acciones:
- Infecta archivos ejecutables de Windows mediante la inyección de código en el espacio libre entre las secciones del archivo.
- Intenta descargar archivos arbitrarios desde dominios generados aleatoriamente basados en la fecha y hora del sistema.
- Utiliza un algoritmo de generación de dominios (DGA) para crear múltiples nombres de dominio diariamente y facilitar la comunicación con sus servidores de mando y control (C2).
- Utiliza un algoritmo de generación de dominios (DGA) para buscar actualizaciones de su propio código o cargar nuevas configuraciones.
- Puede inyectar código en procesos legítimos de Windows para dificultar su detección por herramientas de seguridad y antivirus.
- Implementa técnicas de evasión avanzadas, como el uso de dominios temporales y cifrado de sus comunicaciones, para evitar su detección y análisis por parte de los sistemas de seguridad.
- Realiza conexiones con sitios no legítimos y descarga otros ficheros y programas maliciosos.
- Puede recopilar y exfiltrar información confidencial del sistema infectado, donde incluye credenciales, cookies del navegador y datos de formularios web.
- Puede generar tráfico malicioso para llevar a cabo ataques de denegación de servicio distribuido (DDoS) o ataques por fraude publicitario.
- Modifica claves del registro de Windows y utiliza técnicas para asegurar su persistencia y que se ejecute automáticamente al reiniciar el sistema.
- Permite descargar y añadir nuevos módulos, lo que facilita la expansión de sus funcionalidades para adaptarse a los objetivos específicos de los atacantes.
Sistemas afectados
Los principales dispositivos afectados son:
- Dispositivos con sistemas Windows.
¿Cómo me infecta?
Este malware infecta a los dispositivos a través de correos electrónicos de phishing con archivos adjuntos maliciosos, a través de enlaces de descarga de software comprometido y a través de la explotación de vulnerabilidades en sistemas con configuraciones inseguras o programas sin actualizar.
Cómo desinfectar mi equipo
Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.