GETOVERX FORUM Community Support   ›   Malware Docs   ›   Fileless Malware   ›   Kovter++ (2021–2023)

  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Kovter++ (2021–2023)
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 04:20 PM (This post was last modified: 12-07-2025, 04:54 PM by mrwebfeeder.)
Nombre: Kovter++
(indica el nombre del malware, incluir alias si los tiene)

Categoría: Fileless malware / Click-fraud trojan
(ej.: Ransomware, Infostealer, Troyano bancario, RAT, Loader/Downloader, etc.)

Fecha de descubrimiento: Entre 2021–2023 (variantes modernas de la familia Kovter)

Comportamiento (lo que hace y archivos que infecta):
- Variante de la familia Kovter centrada en técnicas casi “fileless”:
- Gran parte del payload reside en el Registro de Windows en lugar de archivos visibles en disco.
- Utiliza PowerShell injection y/o scripts para ejecutar código malicioso en memoria.
- Funcionalidad típica:
- Click-fraud (generación de clics y tráfico web falsos para campañas publicitarias).
- Descarga y ejecución de payloads adicionales bajo demanda (otros troyanos o módulos).
- Persistencia oculta, difícil de detectar con análisis superficial de archivos.
- “Archivos que infecta”:
- No infecta ejecutables como un virus clásico, sino que:
- Abusa de binarios legítimos (por ejemplo,
Code:
powershell.exe
,
Code:
wscript.exe
) como “hosts” para su código.
- Puede crear ficheros temporales o scripts en directorios de usuario, pero la lógica principal vive en el Registro y en memoria.

Persistencia:
- Describe cómo se mantiene en el sistema:
- Registry-based persistence:
- Guarda código malicioso, scripts o blobs cifrados en claves del Registro (por ejemplo en:
-
Code:
HKCU\Software\Classes
-
Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- u otras rutas poco visibles).
- Los valores del Registro contienen:
- Código PowerShell ofuscado.
- Comandos que reconstruyen y ejecutan el payload en cada inicio.
- Ejecución mediante binarios de sistema:
- Usa comandos como:
-
Code:
powershell.exe -ExecutionPolicy Bypass ...
-
Code:
wscript.exe
con scripts embebidos en el Registro.
- Se lanza desde:
- Claves Run/RunOnce.
- Tareas programadas.
- Fileless / bajo rastro en disco:
- Minimiza la presencia de ejecutables propios.
- Se apoya en herramientas legítimas de Windows (LOLBins) para reducir la huella y evadir firmas simples.

Hash real de referencia (SHA-256):
- Añade un hash SHA-256 real de una muestra pública conocida del malware.
- Ejemplo de formato:
Code:
SHA256: 2f05d651514ddf358bd5964464b0f550ac7f5aaf5dc199219ccefc4cc3bfb8ee

Mitigación con GetOverX Shield v3.0.2.0:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
  • Antivirus:
    Explica cómo usar el motor AV para detectar y eliminar el ejecutable principal y sus droppers.
    - Mantener las firmas del motor AV actualizadas con patrones específicos de Kovter/Kovter++ (scripts, patrones de Registro, cadenas de PowerShell).
    - Ejecutar escaneos completos enfocados en:
    - Droppers iniciales (ejecutables o documentos que desencadenan el payload fileless).
    - Archivos temporales y scripts usados durante la infección.
    - Poner en cuarentena:
    - Cualquier binario o script identificado como dropper o instalador.
    - Herramientas empaquetadas que lleguen vía phishing o descargas maliciosas.

  • Firewall:
    Indica qué tipo de tráfico debe bloquearse (C2, dominios sospechosos, puertos, etc.) y si es recomendable aislar el host.
    - Restringir tráfico saliente desde procesos de scripting:
    - Limitar conexiones a Internet iniciadas por
    Code:
    powershell.exe
    ,
    Code:
    wscript.exe
    y otros intérpretes, salvo excepciones documentadas.
    - Bloquear:
    - Dominios e IPs asociados a infraestructuras de click-fraud y C2 conocidos.
    - Patrones de tráfico HTTP/HTTPS anómalos generados sin interacción del usuario (navegación “fantasma”).
    - Aislar el host:
    - Si se detecta ejecución reiterada de comandos de PowerShell ligados a publicidad o tráfico web automatizado.

  • HIPS/EDR:
    Detalla qué comportamiento debe vigilarse:
    - Creación masiva de archivos (ransomware)
    - Acceso masivo a almacenes de credenciales (stealers)
    - Uso anómalo de PowerShell / scripts
    - Movimiento lateral, enumeración de red, etc.
    Incluye si se debe configurar respuesta automática (matar proceso, bloquear hash, etc.).
    - EDR detect registry-backed code execution:
    - Monitorear:
    - Creación y modificación de valores de Registro que contengan bloques de código (PowerShell, JS, comando largo) ligados a claves de inicio.
    - Procesos legítimos (como
    Code:
    powershell.exe
    ) lanzados con comandos largos y ofuscados, provenientes de claves Run/RunOnce o tareas programadas.
    - Block PowerShell in user context:
    - Aplicar políticas que:
    - Restringen el uso de PowerShell en contexto de usuario estándar (solo modo Constrained Language o bloqueado salvo listas blancas).
    - Bloqueen
    Code:
    -ExecutionPolicy Bypass
    ,
    Code:
    -EncodedCommand
    y patrones similares desde cuentas no administrativas.
    - Respuesta automática recomendada:
    - Bloquear y matar procesos que:
    - Ejecuten PowerShell con parámetros sospechosos.
    - Leyan código desde el Registro para autoejecutarse.
    - Registrar:
    - Claves de Registro tocadas, comandos ejecutados, usuario y hora.
    - Eliminar o limpiar:
    - Entradas de persistencia (Run/RunOnce, tareas programadas) que apunten a scripts o a PowerShell con payload embebido.

  • Sandbox:
    Explica cuándo es recomendable usar el módulo de Sandbox:
    - Antes de ejecutar adjuntos de correo
    - Antes de instalar software de procedencia dudosa
    - Para analizar muestras sospechosas en un entorno aislado
    - Enviar a Sandbox:
    - Adjuntos sospechosos (documentos Office con macros, scripts, ejecutables pequeños) que puedan actuar como dropper de Kovter++.
    - Observar si:
    - Crean o modifican claves del Registro con blobs de código.
    - Lanzan PowerShell con comandos ofuscados que reconstruyen payloads desde el Registro.
    - Si se confirma patrón fileless tipo Kovter:
    - Bloquear uso de ese archivo en toda la red.
    - Añadir hashes y patrones de comportamiento a las reglas internas del EDR y del AV.

  • Medidas posteriores al incidente:
    Indica acciones adicionales:
    - Restaurar desde copias de seguridad offline
    - Cambiar contraseñas
    - Revisar accesos a cuentas sensibles (banca, VPN, paneles de hosting)
    - Revisión de herramientas de administración remota abusadas
    - En el caso de Kovter++:
    - Realizar una revisión exhaustiva del Registro:
    - Eliminar claves de persistencia y valores que contengan código malicioso.
    - Documentar:
    - Rutas y claves afectadas para usarlas como IOCs internos.
    - Endurecer políticas de scripting:
    - Limitar permanentemente el uso de PowerShell y otros intérpretes en estaciones de trabajo.
    - Revisar si se instalaron payloads adicionales:
    - Stealers, RATs u otros módulos descargados durante la infección.

Notas opcionales:
- Kovter++ es un buen ejemplo de malware “fileless” en Windows, donde la detección debe centrarse más en comportamiento y Registro que en simples archivos en disco.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)