Gazavat

¿Qué es?

Gazavat, también llamado Expiro, es un malware de tipo troyano backdoor multifuncional que se enfoca en infectar dispositivos Windows para realizar actividades maliciosas. Además, proporciona una puerta trasera a los atacantes que permite incluir el dispositivo infectado como parte de una botnet con la que tener su control.

¿Qué hace?

Este malware, una vez se instala en el equipo, tiene capacidad para realizar las siguientes acciones:

Crea claves de registro en el sistema del dispositivo afectado para crear persistencia.
Realiza conexiones con sitios no legítimos y descarga otros ficheros y programas maliciosos.
Carga otros ejecutables en el sistema del dispositivo infectado.
Carga complementos de rotura de hashes para suplantar elementos legítimos del dispositivo infectado.
Carga el complemento DMSniff POS para superponer código malicioso en el dispositivo infectado.
Realiza inyecciones de código web (webinjection) y falsificaciones web (webfakes) para robar su información y redireccionar a sitios maliciosos.
Accede y roba la información del dispositivo infectado.
Ejecuta comandos arbitrariamente de manera remota en el dispositivo infectado.
Descarga y roba ficheros del dispositivo infectado.
Tiene capacidad para configurar los dispositivos infectados como servidores proxy para enrutar el tráfico y evadir las defensas y para realizar ataques distribuidos.
Realiza ataques y acciones maliciosas a otros dispositivos, como ataques de denegación de servicio (DDoS) para sobrecargar recursos como sitios web y volverlos inaccesibles.
Tiene capacidad para distribuir e infectar ficheros ejecutables .EXE.

Sistemas afectados

Los principales dispositivos afectados son:

Sistemas con Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de la descarga de adjuntos en correos de phishing y de archivos maliciosos de Internet y a través de conexiones con dispositivos extraíbles como, por ejemplo, los dispositivos USB.