Malware todo en uno distribuido en cracks de aplicaciones

Cuando la mayoría de amenazas de las que se habla actualmente tienen relación con el minado no autorizado de criptomonedas, el ransomware o con ataques dirigidos, resulta curioso encontrarse con una pieza de malware como la que se hace pasar por la aplicación All-Radio 4.27 Portable. Este malware ha causado problemas a bastantes usuarios durante los últimos días hasta el punto de que algunos especialistas recomiendan reinstalar el sistema desde cero antes de tratar de eliminarlo de forma manual.

Un malware multifunción

Parece mentira que, en pleno 2018 tengamos que seguir recordando a los usuarios el peligro que implican aquellas aplicaciones que se hacen pasar por cracks para usar programas de todo tipo sin pagar por su licencia. Sin embargo, tras revisar varios casos planteados por usuarios afectados en algunos foros de ayuda, todo apunta a que esta ha sido la principal vía de infección utilizada por los creadores de este malware.

El síntoma más evidente de esta infección es la aparición de un programa en el sistema infectado llamado All-Radio 4.27 Portable. A pesar de que este programa aparentemente tiene una versión legítima desarrollada en Rusia que permite ver y escuchar música y vídeo online, la versión que ven los usuarios afectados por el malware es una que han preparado los delincuentes para ocultar sus verdaderas intenciones.

Interfaz de la versión fraudulenta de la aplicación All-Radio 4.27 Portable –  Fuente: Bleeping Computer

El principal problema de este malware es que no se limita únicamente a realizar una única función maliciosa. De hecho, los análisis realizados hasta el momento han comprobado como esta amenaza tiene funciones de robo de información, minado de criptomonedas, envío de spam y de rootkit. Toda una navaja suiza en forma de malware.

La mayoría de estas funcionalidades maliciosas pueden ser eliminadas con una solución de seguridad de forma relativamente sencilla pero eliminar un rootkit que se ha instalado en el sistema suele ser mucho más costoso y puede que este sea el motivo por el que algunos expertos recomiendan reinstalar el sistema desde cero.

Cracks y principales países afectados

Las investigaciones que se han hecho acerca de este malware, como la realizada por los investigadores de Bleeping Computer, y los numerosos casos de soporte que se han ido sucediendo en los últimos días han servido para ubicar el origen de esta amenaza en la descarga de cracks para varios programas y aplicaciones de pago. Esta vía de propagación no es ninguna sorpresa ya que se viene avisando desde hace tiempo que las webs y sitios de descarga desde donde se distribuyen son un nido de malware. Entre las aplicaciones utilizadas como gancho para descargar este malware encontramos principalmente numerosas aplicaciones y juegos conocidos:

AUTODESK AUTOCAD 2014 CRACK.EXE

CCleaner.exe

ESET NOD32 ANTIVIRUS 2018 CRACK 111540 FINAL.EXE

Metro-Exodus-keygen.exe

Need For Speed MostWanted 2012 PC.exe

THE+LEGEND+OF+ZELDA+SKYWARD+SWORD+[WII]+[NTSC]+[ESPAOL]+[MG.EXE

Además, con el sistema de telemetría de ESET hemos podido revisar que usuarios de que países se han visto más afectados. En el momento de escribir este artículo, el mayor número de detecciones se está produciendo en Tailandia, Perú, India, Mexico y Turquía. Varias fuentes apuntan también a la descarga del malware se lanza desde un adware que viene junto a los cracks

Conclusión

Es muy poco recomendable confirmar en archivos descargados desde webs y sitios que proporcionan cracks para software de pago y este malware es solo un ejemplo. A pesar de que un buen número de soluciones de seguridad detectan este malware y es muy probable que incluso se detectase al poco tiempo de empezar a propagarse al tratar de realizar cualquiera de las funcionalidades maliciosas con las que viene configurado, nunca debemos bajar la guardia, evitando ejecutar alegremente archivos de cualquier tipo sin revisarlos previamente.

Así mismo, que un malware de este tipo incorpore tantas funcionalidades maliciosas no deja de ser curioso. Si bien es cierto que no es raro encontrar malware con diferentes capacidades, que estas no tengan aparente relación entre sí resulta llamativo, aunque nada impide a cualquier delincuente incorporar todo tipo de funcionalidades a sus creaciones, siempre teniendo en cuenta que esto puede influir en su detección prematura por parte de las soluciones de seguridad.

Josep Albors

IOCs

Hash de la muestra analizada

9d891048dddda8a65de966c71f81464b20e402766aaee8a284da8d25c98270bd

Direcciones IP relacionadas:

65.61.217.1

Archivos usados como contenedores del malware

ALLConverter PRO 2.2 – SeuPirate.exe

ARTLANTIS+STUDIO+CRACK+PLUS+SERIAL+KEY+FREE+DOWNLOAD.EXE

AUTODESK AUTOCAD 2014 CRACK.EXE

Agario Coins Hack.exe

CCleaner.exe

CCleaner64.exe

CORELDRAWX8_KEYGEN-XF.EXE

CleanMyPC.exe

ESET NOD32 ANTIVIRUS 2018 CRACK 111540 FINAL.EXE

Huawei_Multi-Tool_by_Team_MT_v7zip.exe

Jurassic World Evolution Downloader.exe

KMSPicoActivator.exe

Laughingbird The Logo Creator 7.2.3.exe

Metro-Exodus-keygen.exe

Need For Speed MostWanted 2012 PC.exe

PixARK Downloader.exe

Pure-Farming-2018-keygen.exe

Re-loader Activator v3.0.exe

Setup activation.exe

THE+CREW+2+_+CPY+CRACK.EXE

THE+LEGEND+OF+ZELDA+SKYWARD+SWORD+[WII]+[NTSC]+[ESPAOL]+[MG.EXE

V-Ray 36004 Crack For SketchUp Full Torrent 2018.exe

iSkysoft DVD Creator Crack Plus Serial Key Free Download.exe

ic-0.73e7f134b15788.exe

keygen-step-3.exe

kmsultimatefree.exe

pavos.exe

 

 

Facebook Messenger usado de nuevo como vector de ataque para el robo de credenciales