La compañía checa de ciberseguridad Avast, indicó acerca de una familia de malware que afecta a equipos Windows: Meh, y que está atacando principalmente a residentes de España y Argentina. Así lo dio a conocer, el diario digital Bit Finanzas.

Luego de realizar un análisis de la versión 1.0.0a de Meh, que se encontraba escrito en Delphi  sobre la familia del malware Meh, la compañía checa, proporcionó a través de de su blog Decoded avast.io, información sobre dicho virus, el cual, mina y roba carteras de criptomonedas, es un ladrón de contraseñas  y del contenido del portapapeles de los usuarios afectados, y además, realiza fraudes publicitarios en sitios web mediante una herramienta de acceso remoto (RAT).

Tras el análisis realizado, la compañía se encontró con que, desde junio del presente año, España, lleva la delantera global con la cantidad de aproximadamente  88,000 casos de intentos de infección en usuarios de Avast, ocupando el segundo lugar Argentina, con una cantidad de 2,000 navegantes afectados en el país, y en un tercer lugar México, con 1,500 ataques contabilizados por la compañía aproximadamente. 

Cómo funciona

Meh, cuenta con diferentes hilos que tienen su propia función al momento en el que, el virus ataca, esos hilos son: hilo de inyección, de instalación y persistencia, comprobación anti-AV e hilo anti-IObit Malware Fighter, hilo para monedas, de descarga de torrent, de robo de portapapeles y registro de teclas, hilo de fraude publicitario y carteras criptográficas que roban hilo.

Este último, cuando el virus se introduce en la computadora y la infecta, cuenta con la capacidad de detectar y usurpar el monedero criptográfico de la víctima, haciendo entonces de manera automática el envío de los datos de ingreso a un servidor C&C, el cual es un servidor de comando y control que recibe toda aquella información adquirida anteriormente de la PC invadida por el malware.

En el blog, Jan Rubín, escritor del mismo, mencionó respecto al hilo de monedas que, tiene una funcionalidad nombrada “coinmining”, la cual instala un programa de minería de monedas que puede a llevar a cabo su cometido, siempre y cuando no existan programas de antivirus como Norton, Nod32 o Bitdefender, instalados en el sistema. 

“El hilo del minador de monedas también puede verse afectado por el módulo RAT. Si el módulo RAT recibe un comando para terminar la minería, llena el archivo de coinimer con una cadena nominal, deshabilitando la coinmining”, explicó también Rubín, al respecto.

 De la nota se desprende, que dependiendo del tipo de sistema operativo, si es de 32 bits o de 64 bits, el malware se descarga desde una determinada URL. La compañía, también indicó, que Meh instala el programa XMRig, el cual se utiliza para la minería de la criptomoneda XMR, activo nativo de la blockchain de Monero.

Asimismo, los usuarios pueden protegerse instalando programas antivirus en sus PC y evitando descargar contenido de sitios Torrent. 

"Las descargas de torrents a menudo contienen malware, y es posible que los usuarios no se den cuenta al descargar archivos, por lo que siempre recomendamos a los usuarios que utilicen servicios de confianza en lugar de plataformas para compartir archivos", recomendó Jan Rubín.

Ghimob, nuevo troyano bancario en Brasil 

Bajo este mismo contexto, la compañía internacional de seguridad informática Kaspersky dio a conocer el nuevo troyano bancario que se conoció recientemente en Brasil: Ghimob. 

Este nuevo troyano tiene la finalidad de infectar dispositivos móviles y así atacar a 153 aplicaciones financieras latinoamericanas y del resto del mundo.

De acuerdo a las declaraciones de la página de Kaspersky, Ghimob una vez que infecta al dispositivo, tiene la capacidad de acceder al mismo tomando el control y haciendo que el proceso del fraude sea finalizado con éxito por el mismo teléfono celular. Así el aparato tecnológico se encuentre protegido por algún tipo de patrón o contraseña, Ghimob tiene la habilidad de grabar el mismo de forma que pueda reproducirlo y por ende desbloquearlo cuantas veces sea necesario para terminar el proceso de fraude.

Sigue leyendo: