Con la pandemia de coronavirus que azota el mundo, algunos cibercriminales han desarrollado malware que destruye los sistemas informáticos infectados, ya sea borrando archivos o reescribiendo el MBR (“Master Boot Record”, registro de arranque maestro) de un computador.
Se han identificado, al menos, cuatro cepas de malware, algunas “in-the-wild” (es decir, distribuyéndose libremente a través de las redes), mientras que otras parecen haber sido creadas solo como pruebas o bromas. Sin embargo, el tema común entre estas muestras es que utilizan el tema del “Coronavirus” y en lugar de ganancias financieras, buscan la destrucción de los sistemas infectados.
De las cuatro muestras de malware encontradas el mes pasado, las más avanzadas fueron las dos cepas que reescribieron el MBR, pues es una tarea que requiere conocimientos técnicos avanzados.
El primero de los MBR-rewriters fue descubierto por Malware Hunter Team, y detallado en un informe de Sonic Wallla semana pasada. Bajo el nombre de COVID-19.exe, este malware infecta un PC y tiene dos etapas de infección. En la primera fase, solo muestra una ventana molesta que los usuarios no pueden cerrar porque el malware también ha deshabilitado el Administrador de Tareas de Windows. Mientras que los usuarios intentan lidiar con esta ventana, el malware está reescribiendo silenciosamente el registro de arranque maestro del equipo a sus espaldas. A continuación, reinicia el PC, y el nuevo MBR se activa, bloqueando a los usuarios en una pantalla de prearranque.
Los usuarios pueden recuperar el acceso a sus equipos, pero necesitarán aplicaciones especiales que se puedan usar para recuperar y reconstruir el MBR a un estado de trabajo.
La segunda cepa que reescribe el MBR, usa una operación mucho más enrevesada: se hace pasar por el “CoronaVirus ransomware”, pero es solo una fachada. La función principal del malware era robar contraseñas de un host infectado y luego imitar ransomware para engañar al usuario y enmascarar su propósito real. Una vez finalizado el robo de datos, el malware reescribe el MBR, bloqueando al usuario en un mensaje previo al arranque, impidiendo el acceso a sus PC. Al ver una solicitud de “rescate” y luego ser incapaz de acceder al PC, lo último que el usuario haría es comprobar si alguien ha robado contraseñas de sus aplicaciones.
Según el análisis del investigador de seguridad SentinelOne, Vitali Kremez, y el sitio web “Bleeping Computer”, el malware también contenía código para borrar archivos en los sistemas del usuario, pero esto no parecía estar activo en la versión que analizaron.
