Corebot

¿Qué es?

Corebot es un malware de tipo troyano bancario con capacidades de stealer y estructura modular que se enfoca en infectar dispositivos Windows y Android para robar credenciales bancarias y datos financieros. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida. De hecho, en su momento, formó parte de la infraestructura global de botnets múltiples de cibercrimen llamada Avalanche (ya desmantelada).

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones:

Roba credenciales almacenadas en navegadores web, clientes de correo electrónico y aplicaciones FTP.
Extrae cookies, historiales y datos de formularios web.
Proporciona a sus operadores capacidades de acceso y control remoto.
Registra pulsaciones de teclado (keylogging) para capturar datos confidenciales.
Inyecta contenido falso en sitios bancarios legítimos (webinjects) para interceptar credenciales financieras.
Se conecta a servidores de mando y control (C2) para recibir instrucciones, descargar módulos adicionales y exfiltrar la información robada.
Crea persistencia en el sistema mediante claves de registro y archivos ocultos para dificultar su detección y eliminación.
Puede descargar y ejecutar otros ficheros maliciosos en el sistema comprometido para ampliar su funcionalidad maliciosa.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Windows.
Dispositivos con sistemas Android.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de descargas de aplicaciones falsas y maliciosas desde fuentes no oficiales, a través de correos electrónicos de phishing que contienen enlaces maliciosos, a través de sitios web comprometidos y de herramientas de explotación (exploit kits) que aprovechan vulnerabilidades de los sistemas o sus navegadores.