Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

BetaBot

¿Qué es?

BetaBot, también conocido como Neurevt y Beta Bot, es un malware de tipo troyano stealer multifuncional con características de backdoor, que se enfoca en infectar dispositivos Windows para facilitar control remoto, exfiltrar datos y distribuir otros programas maliciosos. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

  • Roba credenciales sensibles mediante la interceptación de formularios web (form-grabbing), así como de clientes FTP, clientes de correo electrónico y aplicaciones como Skype.
  • Captura información financiera a través de un módulo bancario especializado que exfiltra datos relacionados con accesos y operaciones en plataformas bancarias.
  • Crea un proxy para permitir a los atacantes redirigir su tráfico malicioso y ocultar su identidad.
  • Lanza ataques de denegación de servicio distribuido (DDoS) contra servidores o servicios seleccionados como parte de una red distribuida.
  • Se comunica con servidores de mando y control (C2) para enviar la información robada y recibir nuevas instrucciones.
  • Descarga y ejecuta otros programas maliciosos bajo órdenes de los servidores de mando y control (C2).
  • Realiza minado de criptomonedas en segundo plano con los recursos de los sistemas, por lo que ralentiza el rendimiento del equipo sin conocimiento del usuario.
  • Ejecuta comandos arbitrarios de manera remota, lo que permite a los atacantes el control completo.
  • Se oculta y genera persistencia mediante su inyección en procesos legítimos del sistema, mediante el uso de tareas programadas y de entradas en el registro y mediante técnicas de rootkit.
  • Detecta y desactiva software de seguridad y elimina otras variantes de malware que puedan interferir con sus funciones.
  • Altera su comportamiento y evita entornos de análisis mediante el uso capacidades anti-sandbox, anti-VM y anti-debug.
  • Se propaga mediante dispositivos USB infectados.
  • Obtiene capturas de pantalla del escritorio y monitoriza el portapapeles y la interacción del usuario con teclado y ratón para robar información adicional.
  • Recopila información detallada del sistema, como la versión del sistema operativo, configuraciones regionales, presencia de Java, dispositivos conectados y distribución del teclado, para adaptar mejor sus técnicas de evasión y ataque.

Sistemas afectados

Los principales dispositivos afectados son:

  • Dispositivos con sistemas Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos, sobre todo, a través de campañas de phishing con documentos Word (RTF) que explotan la vulnerabilidad CVE-2017-11882 en Microsoft Equation Editor, a través de dispositivos extraíbles (USB) infectados, a través de enlaces engañosos por Skype y a través de documentos adjuntos en ingeniería social.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

Compartir en Redes Sociales