Malware Grabit

El pasado 28 de mayo Kaspersky Lab publicó el artículo “Grabit and the RATs”[1] donde pone al descubierto un nuevo tipo de malware que se nombra a sí mismo Grabit. Señala la publicación que el malware está orientado al robo de información de  organizaciones medianas y pequeñas de diversos sectores, afectando  sistemas de Tailandia, la India, Vietnam, Irán, Estados Unidos y otros países.

En este malware se combinan funciones de keylogger y de control remoto de las máquinas infestadas.

La funcionalidad de keylogger prepara ficheros con la información tecleada, nombres de usuarios y contraseñas, así como nombres de dominios y de aplicaciones. Según información presente en el código, como keylogger se emplea la aplicación comercial HawkEye  que puede ser comprada en línea en Internet y del que también se han propagado versiones[2] como parte  de otras campañas de malware.

La funcionalidad  de Control Remoto de las computadoras victimas que implementa Grabit, es ejecutada por herramientas tipo RAT[3], entre las que se destaca el Troyano de Acceso Remoto DarkComet, aunque está preparado para utilizar otras.

Entre sus características Kaspersky destaca la versatilidad de su comportamiento, basado en las diferencias en tamaño, funcionalidades y técnicas de seguridad, encontradas en las diferentes muestras analizadas.

Kaspersky señala que el malware es distribuido a través de un documento de Word (.doc) anexo a un correo electrónico y que incluye una macro (llamada AutoOpen) que abre una comunicación con un servidor remoto comprometido, para la descarga del malware.

En estudios realizados, se ha detectado indicios de   actividad de malware Grabit  en las redes cubanas.

Para protegerse contra Grabit, Kaspersky Lab ofrece de forma específica  las siguientes recomendaciones:

  • Revisar la  ubicación:

          C:\Users\<USER-NAME>\AppData\Roaming\Microsoft.

          Si contiene archivos ejecutables, podría haber infección con el malware.

  • Las configuraciones del Sistema Windows no deben contener un archivo ejecutable grabit1.exe en la tabla de arranque.  Se debe ejecutar "msconfig" y asegurarse  que no existan registros de  grabit1.exe.

Adicionalmente se recomienda  no abrir anexos de origen y/o con objetivo no conocido, y mantener los programas antivirus actualizados.

Español