Cuando la mayoría de amenazas de las que se habla actualmente tienen relación con el minado no autorizado de criptomonedas, el ransomware o con ataques dirigidos, resulta curioso encontrarse con una pieza de malware como la que se hace pasar por la aplicación All-Radio 4.27 Portable. Este malware ha causado problemas a bastantes usuarios durante los últimos días hasta el punto de que algunos especialistas recomiendan reinstalar el sistema desde cero antes de tratar de eliminarlo de forma manual.
Un malware multifunción
Parece mentira que, en pleno 2018 tengamos que seguir recordando a los usuarios el peligro que implican aquellas aplicaciones que se hacen pasar por cracks para usar programas de todo tipo sin pagar por su licencia. Sin embargo, tras revisar varios casos planteados por usuarios afectados en algunos foros de ayuda, todo apunta a que esta ha sido la principal vía de infección utilizada por los creadores de este malware.
El síntoma más evidente de esta infección es la aparición de un programa en el sistema infectado llamado All-Radio 4.27 Portable. A pesar de que este programa aparentemente tiene una versión legítima desarrollada en Rusia que permite ver y escuchar música y vídeo online, la versión que ven los usuarios afectados por el malware es una que han preparado los delincuentes para ocultar sus verdaderas intenciones.
Interfaz de la versión fraudulenta de la aplicación All-Radio 4.27 Portable – Fuente: Bleeping Computer
El principal problema de este malware es que no se limita únicamente a realizar una única función maliciosa. De hecho, los análisis realizados hasta el momento han comprobado como esta amenaza tiene funciones de robo de información, minado de criptomonedas, envío de spam y de rootkit. Toda una navaja suiza en forma de malware.
La mayoría de estas funcionalidades maliciosas pueden ser eliminadas con una solución de seguridad de forma relativamente sencilla pero eliminar un rootkit que se ha instalado en el sistema suele ser mucho más costoso y puede que este sea el motivo por el que algunos expertos recomiendan reinstalar el sistema desde cero.
Cracks y principales países afectados
Las investigaciones que se han hecho acerca de este malware, como la realizada por los investigadores de Bleeping Computer, y los numerosos casos de soporte que se han ido sucediendo en los últimos días han servido para ubicar el origen de esta amenaza en la descarga de cracks para varios programas y aplicaciones de pago. Esta vía de propagación no es ninguna sorpresa ya que se viene avisando desde hace tiempo que las webs y sitios de descarga desde donde se distribuyen son un nido de malware. Entre las aplicaciones utilizadas como gancho para descargar este malware encontramos principalmente numerosas aplicaciones y juegos conocidos:
AUTODESK AUTOCAD 2014 CRACK.EXE
CCleaner.exe
ESET NOD32 ANTIVIRUS 2018 CRACK 111540 FINAL.EXE
Metro-Exodus-keygen.exe
Need For Speed MostWanted 2012 PC.exe
THE+LEGEND+OF+ZELDA+SKYWARD+SWORD+[WII]+[NTSC]+[ESPAOL]+[MG.EXE
Además, con el sistema de telemetría de ESET hemos podido revisar que usuarios de que países se han visto más afectados. En el momento de escribir este artículo, el mayor número de detecciones se está produciendo en Tailandia, Perú, India, Mexico y Turquía. Varias fuentes apuntan también a la descarga del malware se lanza desde un adware que viene junto a los cracks
Conclusión
Es muy poco recomendable confirmar en archivos descargados desde webs y sitios que proporcionan cracks para software de pago y este malware es solo un ejemplo. A pesar de que un buen número de soluciones de seguridad detectan este malware y es muy probable que incluso se detectase al poco tiempo de empezar a propagarse al tratar de realizar cualquiera de las funcionalidades maliciosas con las que viene configurado, nunca debemos bajar la guardia, evitando ejecutar alegremente archivos de cualquier tipo sin revisarlos previamente.
Así mismo, que un malware de este tipo incorpore tantas funcionalidades maliciosas no deja de ser curioso. Si bien es cierto que no es raro encontrar malware con diferentes capacidades, que estas no tengan aparente relación entre sí resulta llamativo, aunque nada impide a cualquier delincuente incorporar todo tipo de funcionalidades a sus creaciones, siempre teniendo en cuenta que esto puede influir en su detección prematura por parte de las soluciones de seguridad.
IOCs
Hash de la muestra analizada
9d891048dddda8a65de966c71f81464b20e402766aaee8a284da8d25c98270bd
Direcciones IP relacionadas:
65.61.217.1
Archivos usados como contenedores del malware
ALLConverter PRO 2.2 – SeuPirate.exe
ARTLANTIS+STUDIO+CRACK+PLUS+SERIAL+KEY+FREE+DOWNLOAD.EXE
AUTODESK AUTOCAD 2014 CRACK.EXE
Agario Coins Hack.exe
CCleaner.exe
CCleaner64.exe
CORELDRAWX8_KEYGEN-XF.EXE
CleanMyPC.exe
ESET NOD32 ANTIVIRUS 2018 CRACK 111540 FINAL.EXE
Huawei_Multi-Tool_by_Team_MT_v7zip.exe
Jurassic World Evolution Downloader.exe
KMSPicoActivator.exe
Laughingbird The Logo Creator 7.2.3.exe
Metro-Exodus-keygen.exe
Need For Speed MostWanted 2012 PC.exe
PixARK Downloader.exe
Pure-Farming-2018-keygen.exe
Re-loader Activator v3.0.exe
Setup activation.exe
THE+CREW+2+_+CPY+CRACK.EXE
THE+LEGEND+OF+ZELDA+SKYWARD+SWORD+[WII]+[NTSC]+[ESPAOL]+[MG.EXE
V-Ray 36004 Crack For SketchUp Full Torrent 2018.exe
iSkysoft DVD Creator Crack Plus Serial Key Free Download.exe
ic-0.73e7f134b15788.exe
keygen-step-3.exe
kmsultimatefree.exe
pavos.exe