Dorifel

¿Qué es?

Dorifel, también llamado XDocCrypt y Quervar, es un malware de tipo gusano y troyano con capacidades de dropper y downloader, orientado a infectar sistemas Microsoft Windows para robar información, descargar y ejecutar código malicioso adicional y propagarse a través de dispositivos extraíbles y carpetas compartidas de red. Además, puede proporcionar una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones:

Roba información del usuario, incluyendo historial y caché del navegador y direcciones URL introducidas manualmente.
Descarga y ejecuta código malicioso adicional desde servidores remotos mediante HTTP o FTP.
Recibe órdenes desde servidores de mando y control (C2) para ejecutar acciones arbitrarias.
Se propaga mediante unidades USB, recursos compartidos de red y carpetas sincronizadas.
Infecta documentos de Microsoft Office y modifica sus extensiones para impedir el acceso normal a los archivos (.DOC, .DOCX, .XLS, .XLSX y .EXE).
Oculta archivos y carpetas legítimos del sistema para dificultar su detección.
Establece persistencia en el sistema mediante cambios en el Registro de Windows y la copia de archivos maliciosos en directorios del sistema.

Sistemas afectados

Los principales dispositivos afectados son:

Sistemas con Microsoft Windows

¿Cómo me infecta?

Este malware infecta a los dispositivos principalmente a través de archivos ejecutables maliciosos distribuidos mediante campañas de correo electrónico, descargas fraudulentas y recursos compartidos de red. También se propaga automáticamente mediante memorias USB y carpetas compartidas, ocultando archivos legítimos y sustituyéndolos por accesos directos o archivos infectados. Además, puede aprovechar documentos de Microsoft Office manipulados para extender la infección entre usuarios.