Tempedreve

¿Qué es?

Tempedreve es un malware de tipo gusano que se enfoca en infectar y propagarse por sistemas Windows para tomar el control remoto y realizar actividades maliciosas. Además, puede proporcionar una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

Permite el control remoto a los atacantes.
Accede y roba la información de los usuarios.
Permite su propagación lateral a otros dispositivos conectados por red.
Modifica el registro del sistema operativo (con subclaves como "dialwwiz") para generar persistencia y asegurar su ejecución al inicio del sistema.
Se copia en el sistema operativo bajo nombres engañosos como "disketup.exe" o "audil386.exe" en la carpeta %APPDATA%.
Crea un mutex para evitar múltiples instancias de sí mismo en el sistema.
Instala servicios que permiten a atacantes recopilar información, capturar contraseñas y tomar capturas de pantalla.
Puede corromper archivos con extensiones ".msi", ".pdf" y ".exe" y afectar a la integridad de los instaladores y documentos.
Se comunica con sus servidores de mando y control (C2) mediante un algoritmo de generación de dominios (DGA).
Realiza conexiones con sitios maliciosos y descarga otros ficheros y programas maliciosos.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos, sobre todo, a través de unidades USB comprometidas que, al conectarse a un equipo, lo ejecutan automáticamente, a través de carpetas de red compartidas donde se copia y ejecuta sin el conocimiento del usuario y a través de la descarga de adjuntos en correos de phishing y de archivos maliciosos de Internet.