Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Pitou

¿Qué es?

Pitou es un malware de tipo troyano genérico con capacidades de bootkit y spambot, que se enfoca en infectar dispositivos Windows para permitir su control persistente y realizar actividades maliciosas. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

  • Se instala en el MBR del sistema para cargarse antes del sistema operativo y dificultar su detección y eliminación.
  • Actúa como rootkit a nivel del núcleo (bootkit) para ocultar procesos y archivos maliciosos.
  • Se comunica con servidores remotos de mando y control (C2) mediante el uso de protocolos cifrados para evitar la inspección del tráfico.
  • Permite el control remoto del sistema comprometido mediante una infraestructura de mando y control (C2).
  • Descarga e instala otros tipos de programas maliciosos.
  • Puede deshabilitar soluciones de seguridad y modificar configuraciones del sistema para mantener su persistencia.
  • Realiza inyección de código en procesos legítimos para ejecutar su lógica maliciosa, residir en memoria y persistir incluso tras reinicios.
  • Puede autodescargarse nuevas versiones de sí mismo, lo que le da capacidad para adaptarse, incorporar nuevas funciones o corregir errores sin intervención del usuario.
  • Puede convertir el equipo infectado en un zombi dentro de una botnet de spam para enviar correos electrónicos masivos con enlaces o adjuntos maliciosos.

Sistemas afectados

Los principales dispositivos afectados son:

  • Dispositivos con sistemas Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de campañas donde un troyano inicial descarga lo como payload secundario, a través de descargas maliciosas desde sitios web comprometidos o fraudulentos, a través de archivos adjuntos en correos electrónicos de phishing y a través de dispositivos USB infectados que ejecutan código al conectarse a equipos vulnerables.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

Compartir en Redes Sociales