PcShare

¿Qué es?

PcShare es un malware de tipo troyano backdoor con capacidades de acceso remoto (RAT), que se enfoca en infectar dispositivos Windows para controlarlos remotamente, generar persistencia y exfiltrar información. Además, proporciona una puerta trasera a los atacantes con la que incluir el dispositivo como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

Permite el control remoto y la ejecución de comandos (incluido cmd).
Exfiltra, descarga instrucciones y sube ficheros a sus servidores de mando y control (C2) a través de un canal HTTP con cifrado y compresión.
Registra pulsaciones de teclas (keylogging) para capturar información sensible.
Captura imágenes de pantalla de la sesión de los usuarios para vigilar su actividad.
Captura vídeo con la cámara de los equipos comprometidos.
Descubre el sistema y sus procesos y consulta y modifica el Registro y la configuración de red/proxy.
Inyecta procesos y se ejecuta mediante el programa legítimo rundll32.exe.
Genera persistencia mediante la técnica COM hijacking y las claves de Registro y evita su detección mediante el borrado de huellas (eliminación de ficheros).
Se enmascara mediante el uso de nombres/recursos legítimos con una firma no válida.
Añade bypass de proxy y carga lateral de DLL (DLL sideloading) con binarios legítimos.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de cargadores disfrazados de controladores o software legítimos alojados en sitios de terceros y junto a aplicaciones legítimas vulnerables a sideloading, como “NVIDIA Smart Maximise Helper Host”, en donde se abusa de funciones de accesibilidad para obtener privilegios elevados.