TinyNuke
¿Qué es?
TinyNuke, también conocido como Nuclear Bot y NukeBot, es un malware de tipo troyano bancario avanzado con capacidades de stealer, que se enfoca en infectar dispositivos Windows para robar información financiera, credenciales de plataformas bancarias en línea, contraseñas de los sistemas e información confidencial. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.
¿Qué hace?
Este malware tiene capacidad para realizar las siguientes acciones:
- Roba credenciales bancarias e información financiera mediante el uso de técnicas de inyección de código para insertar formularios falsos en sitios web legítimos de banca online y engañar a los usuarios.
- Realiza ataques man-in-the-browser (MitB) para interceptar y alterar el contenido visualizado por el usuario en páginas legítimas.
- Descarga e instala módulos adicionales de otros programas maliciosos para ampliar su funcionalidad.
- Intercepta y roba datos de los sistemas y de los usuarios más allá del ámbito bancario.
- Registra pulsaciones de teclas (keylogging) para capturar información sensible.
- Roba cookies del navegador para secuestrar sesiones activas en sitios de banca o comercio electrónico sin necesidad de credenciales.
- Realiza capturas de pantalla, monitoriza la actividad de los usuarios y controla los procesos activos.
- Implementa funciones de ATS (Sistema de transferencias bancarias) que permiten realizar transferencias bancarias fraudulentas sin la intervención de los usuarios.
- Intenta evadir su detección mediante el uso de técnicas de ofuscación que dificultan sus análisis estático y dinámico y mediante su capacidad para cambiar su estructura en cada infección (polimorfismo).
- Se ejecuta en memoria (fileless) en algunas variantes, lo que le permite evadir soluciones de seguridad basadas en archivos.
- Se copia en rutas temporales de los sistemas y crea claves en el registro para generar persistencia y ejecutarse tras cada reinicio.
- Transmite toda la información robada a los servidores de mando y control (C2) mediante conexiones cifradas para evitar su interceptación.
Sistemas afectados
Los principales dispositivos afectados son:
- Dispositivos con sistemas Windows.
¿Cómo me infecta?
Este malware infecta a los dispositivos a través de campañas de correos electrónicos de phishing y spam con archivos adjuntos maliciosos o enlaces a sitios web comprometidos, a través de falsos programas disfrazados de software legítimo y a través de descargas desde sitios web que han sido vulnerados.
Cómo desinfectar mi equipo
Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners genéricos.