11-29-2025, 03:57 PM
(This post was last modified: 12-07-2025, 04:57 PM by mrwebfeeder.)
Nombre: Kovter
(indica el nombre del malware, incluir alias si los tiene)
Categoría: Fileless malware / Click-fraud trojan
(ej.: Ransomware, Infostealer, Troyano bancario, RAT, Loader/Downloader, etc.)
Fecha de descubrimiento: Aproximadamente a partir de 2013 (campañas activas en años posteriores)
Comportamiento (lo que hace y archivos que infecta):
- Troyano orientado a fraude de anuncios (ad-fraud / click-fraud) y otras actividades maliciosas, conocido por sus técnicas casi fileless.
- Persistencia en registro; fraude de anuncios; PowerShell:
- Gran parte de la lógica del malware reside en el Registro de Windows en lugar de un ejecutable persistente en disco.
- Utiliza PowerShell y otros binarios legítimos de Windows para ejecutar su payload en memoria.
- Funcionalidades típicas:
- Generación de clics y tráfico web falsos para campañas publicitarias:
- Abrir conexiones HTTP/HTTPS en segundo plano.
- Simular visitas a sitios y clics en anuncios.
- Capacidad de descargar y ejecutar payloads adicionales:
- Puede actuar como loader para otros troyanos o módulos de monetización.
- Evasión de análisis:
- Uso de código ofuscado.
- Abuso de procesos legítimos del sistema.
- “Archivos que infecta”:
- No infecta ejecutables tradicionales; se centra en:
- Almacenar datos/código en el Registro.
- Usar scripts/PowerShell para ejecutar código en memoria.
- Puede crear ficheros temporales o scripts de apoyo, pero la lógica principal no depende de un EXE persistente clásico.
Persistencia:
- Describe cómo se mantiene en el sistema:
- Persistencia en Registro:
- Almacena blobs de código, comandos PowerShell ofuscados o contenido cifrado en claves del Registro, por ejemplo:
-
Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run- Estos valores son invocados para reconstruir el payload en cada inicio de sesión o arranque.
- Ejecución mediante binarios legítimos (LOLBins):
- Usa comandos del tipo:
-
Code:
powershell.exe -ExecutionPolicy Bypass -EncodedCommand ...Code:
mshta.exeCode:
wscript.exe- Se apoya en:
- Claves Run/RunOnce.
- Tareas programadas que llaman a estos binarios con parámetros maliciosos.
- Modelo fileless:
- Minimiza la presencia de archivos ejecutables propios en disco.
- Depende del Registro y de procesos legítimos para persistir y ejecutarse, complicando la detección basada sólo en archivos.
Hash real de referencia (SHA-256):
- Añade un hash SHA-256 real de una muestra pública conocida del malware.
- Ejemplo de formato:
Code:
SHA256: e0eae0a847f6b422bba65c94bd2eeaf0db81453d39b7f0e1fd818f5a309d9f8eMitigación con GetOverX Shield v3.0.2.0:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
- Antivirus:
Explica cómo usar el motor AV para detectar y eliminar el ejecutable principal y sus droppers.
- En Kovter, el objetivo principal del AV son:
- Los droppers iniciales (ejecutables, documentos con macros, scripts) que instalan la lógica fileless.
- Acciones recomendadas:
- Ejecutar escaneos completos para localizar:
- Ejecutables pequeños y documentos sospechosos utilizados como instaladores.
- Scripts en directorios de usuario (Descargas, Temp, AppData) relacionados con la infección.
- Mantener firmas y reglas YARA:
- Enfocadas a patrones específicos de Kovter (cadenas de PowerShell, estructuras de dropper, etc.).
- Poner en cuarentena:
- Cualquier archivo coincidente con firmas/IOC de Kovter.
- Herramientas empaquetadas encontradas en campañas de spam o descargas maliciosas.
- Firewall:
Indica qué tipo de tráfico debe bloquearse (C2, dominios sospechosos, puertos, etc.) y si es recomendable aislar el host.
- La actividad de fraude de anuncios y tráfico web automatizado puede detectarse por:
- Peticiones HTTP/HTTPS frecuentes a dominios de publicidad o URLs específicas sin interacción del usuario.
- Medidas sugeridas:
- Limitar tráfico saliente desde:
-,Code:powershell.exe,Code:mshta.exey otros intérpretes hacia Internet.Code:wscript.exe
- Bloquear:
- Dominios e IPs conocidos asociados a campañas de click-fraud y C2 de Kovter (según IOC disponibles).
- En casos de actividad intensa:
- Aislar temporalmente el host del acceso externo mientras se realiza la limpieza.
- Monitorizar ancho de banda para detectar picos relacionados con tráfico automatizado.
- HIPS/EDR:
Detalla qué comportamiento debe vigilarse:
- Creación masiva de archivos (ransomware)
- Acceso masivo a almacenes de credenciales (stealers)
- Uso anómalo de PowerShell / scripts
- Movimiento lateral, enumeración de red, etc.
Incluye si se debe configurar respuesta automática (matar proceso, bloquear hash, etc.).
- En Kovter, el foco debe ser:
- Persistencia en registro:
- Detectar creación/modificación de claves Run/RunOnce u otras que:
- Contengan comandos PowerShell largos, codificados u ofuscados.
- Ejecuten binarios del sistema con parámetros sospechosos.
- Uso anómalo de PowerShell:
- Procesos de PowerShell lanzados con:
--Code:-ExecutionPolicy Bypass- Lectura de código desde el Registro seguida de ejecución en memoria.Code:-EncodedCommand
- Ejecución fileless:
- Procesos legítimos que se convierten en “hosts” de código malicioso sin que exista un EXE asociado en disco.
- Respuesta automática recomendada:
- Bloquear y matar procesos que cumplan patrones de scripting malicioso.
- Registrar claves de Registro modificadas, comandos, usuarios implicados y hora.
- Limpiar claves de inicio y tareas programadas asociadas al comportamiento detectado.
- Sandbox:
Explica cuándo es recomendable usar el módulo de Sandbox:
- Antes de ejecutar adjuntos de correo
- Antes de instalar software de procedencia dudosa
- Para analizar muestras sospechosas en un entorno aislado
- Enviar a Sandbox:
- Adjuntos (documentos, ejecutables) sospechosos de ser droppers de Kovter.
- Scripts de PowerShell o VBS que vengan incrustados en correos o descargas.
- Observar si:
- Modifican el Registro para guardar blobs de código o comandos ofuscados.
- Lanzan PowerShell con parámetros típicos de ejecución fileless.
- Generan tráfico HTTP/HTTPS automatizado hacia múltiples dominios publicitarios.
- Si se confirma patrón de Kovter:
- Bloquear el archivo en todo el entorno.
- Añadir sus hashes y artefactos (claves de Registro, dominios) a la lista interna de IOC para futuras detecciones.
- Medidas posteriores al incidente:
Indica acciones adicionales:
- Restaurar desde copias de seguridad offline
- Cambiar contraseñas
- Revisar accesos a cuentas sensibles (banca, VPN, paneles de hosting)
- Revisión de herramientas de administración remota abusadas
- Para un incidente con Kovter:
- Realizar una revisión y limpieza profunda del Registro:
- Eliminar claves Run/RunOnce y otras entradas de persistencia asociadas al malware.
- Revisar políticas de ejecución de PowerShell y scripting:
- Aplicar Constrained Language Mode o bloquear su uso en usuarios estándar.
- Auditoría de tráfico:
- Verificar que se haya detenido el tráfico de click-fraud.
- Ajustar reglas de firewall para prevenir reincidencias.
- Revisar si el equipo actuó como punto para descarga de otros malware:
- Ejecutar escaneos adicionales para detectar posibles payloads secundarios (stealers, RATs, etc.).
Notas opcionales:
- Kovter es uno de los ejemplos clásicos de malware “fileless” en Windows, útil para ilustrar en la biblioteca la importancia de monitorizar el Registro, PowerShell y el comportamiento de red, más allá de los binarios en disco.