<![CDATA[GETOVERX FORUM Community Support - Spyware]]> https://forum.getoverx.com/ Fri, 17 Apr 2026 09:59:28 +0000 MyBB <![CDATA[SPYWARE – FinFisher]]> https://forum.getoverx.com/showthread.php?tid=44 Sat, 29 Nov 2025 15:48:25 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=44 Nombre: FinFisher / FinSpy

Categoría: Spyware gubernamental / Suite de vigilancia

Fecha de descubrimiento: Alrededor de 2011 (investigaciones públicas)

Comportamiento (lo que hace y archivos que afecta):
- Spyware avanzado usado para vigilancia dirigida y operaciones de inteligencia.
- Captura de pantalla:
- Toma capturas periódicas o bajo eventos específicos (apertura de ciertas apps, uso de navegador, mensajería, etc.).
- Keylogging:
- Registra pulsaciones de teclado para obtener:
- Contraseñas.
- Mensajes en mensajería instantánea.
- Correos, documentos y cualquier texto escrito por el usuario.
- Vigilancia completa:
- Monitorización de aplicaciones de mensajería, correo, navegadores y documentos.
- Puede grabar audio (micrófono) y, en algunas variantes, vídeo (webcam).
- Recopila información del sistema: procesos, servicios, direcciones IP, configuración de red.
- Exfiltra la información a servidores de mando y control (C2) controlados por el operador.
- Archivos afectados:
- No “infecta” archivos para propagarse como un virus clásico, pero:
- Lee y exfiltra documentos, historiales, bases de datos locales de apps y archivos personales.
- Puede crear ficheros temporales cifrados en disco para almacenar datos recopilados antes de enviarlos.

Persistencia:
- Rootkit de kernel:
- Instala componentes a nivel de kernel para:
- Ocultar procesos, archivos y claves de Registro.
- Perdurarse tras reinicios y dificultar la detección por soluciones tradicionales.
- Puede interceptar llamadas del sistema para monitorear y manipular el funcionamiento normal del OS.
- Otros mecanismos habituales:
- Servicios y drivers firmados o que se camuflan como componentes legítimos del sistema.
- Modificaciones en el arranque para cargar sus módulos antes de herramientas de seguridad.

Hash real de referencia (SHA-256):
Muestra pública asociada a FinFisher / FinSpy:
Code:
e6e6eaad6d10c08baf0da7a2b3cb31ed2f8d1fd3fb70a278c6d9b96f76da87d2

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus + Anti-rootkit avanzado:
    - Ejecutar escaneos completos con el motor de AV de GetOverX Shield, incluyendo:
    - Directorios de sistema.
    - Drivers, servicios y carpetas de usuario.
    - Utilizar funciones avanzadas (anti-rootkit) para:
    - Detectar drivers o módulos de kernel ocultos.
    - Identificar entradas sospechosas en la cadena de arranque y servicios del sistema.
    - Cuarentenar y eliminar:
    - Binarios asociados a FinFisher.
    - Drivers maliciosos o manipulados.

  • HIPS / EDR – Vigilancia de comportamiento:
    - Activar reglas de EDR para detectar:
    - Keyloggers (procesos que acceden a APIs de teclado de forma continua sin justificación).
    - Captura de pantalla persistente o lectura masiva de buffers de pantalla.
    - Acceso frecuente a datos de múltiples aplicaciones de mensajería, navegadores y clientes de correo.
    - Configurar respuesta automática para:
    - Matar procesos que muestren comportamiento típico de spyware gubernamental.
    - Registrar los eventos (proceso, usuario, host, tipo de acceso) en los logs unificados para análisis forense.

  • Control de comunicaciones salientes (Firewall):
    - Restringir y monitorizar:
    - Conexiones salientes hacia dominios/IPs desconocidos, especialmente desde estaciones de trabajo de alto valor.
    - Crear reglas para:
    - Bloquear canales de exfiltración sospechosos (HTTP/HTTPS cifrado hacia destinos no autorizados, túneles).
    - Usar listas de permitidos (allowlists) para endpoints críticos, permitiendo sólo destinos aprobados.

  • Endurecimiento del sistema y auditoría:
    - Revisar:
    - Drivers cargados, servicios instalados y módulos de arranque.
    - Cualquier driver no firmado o con firma irregular que no pertenezca al inventario oficial.
    - Activar protección de integridad:
    - Políticas que impidan la carga de drivers no firmados o no autorizados.
    - Realizar auditorías periódicas:
    - Comparar la lista de componentes de kernel con una línea base conocida limpia.
    - Verificar que no existan objetos ocultos (procesos, archivos, claves de registro) según la visión del kernel vs herramientas de usuario.

  • Respuesta y remediación:
    - Ante sospecha o confirmación de FinFisher:
    - Aislar la máquina de la red para cortar exfiltración.
    - Extraer evidencias (imagen de disco, memoria) para análisis forense.
    - Recomendar:
    - Cambiar todas las credenciales que hayan sido usadas en el equipo comprometido (correo, VPN, sistemas internos, banca, etc.).
    - Implementar MFA en todos los servicios críticos para mitigar el impacto de claves robadas.

Notas opcionales:
- FinFisher / FinSpy es un ejemplo de spyware “de nivel estatal” o gubernamental, por lo que su detección puede indicar una campaña dirigida de alta criticidad contra la organización o persona afectada.]]> Nombre: FinFisher / FinSpy

Categoría: Spyware gubernamental / Suite de vigilancia

Fecha de descubrimiento: Alrededor de 2011 (investigaciones públicas)

Comportamiento (lo que hace y archivos que afecta):
- Spyware avanzado usado para vigilancia dirigida y operaciones de inteligencia.
- Captura de pantalla:
- Toma capturas periódicas o bajo eventos específicos (apertura de ciertas apps, uso de navegador, mensajería, etc.).
- Keylogging:
- Registra pulsaciones de teclado para obtener:
- Contraseñas.
- Mensajes en mensajería instantánea.
- Correos, documentos y cualquier texto escrito por el usuario.
- Vigilancia completa:
- Monitorización de aplicaciones de mensajería, correo, navegadores y documentos.
- Puede grabar audio (micrófono) y, en algunas variantes, vídeo (webcam).
- Recopila información del sistema: procesos, servicios, direcciones IP, configuración de red.
- Exfiltra la información a servidores de mando y control (C2) controlados por el operador.
- Archivos afectados:
- No “infecta” archivos para propagarse como un virus clásico, pero:
- Lee y exfiltra documentos, historiales, bases de datos locales de apps y archivos personales.
- Puede crear ficheros temporales cifrados en disco para almacenar datos recopilados antes de enviarlos.

Persistencia:
- Rootkit de kernel:
- Instala componentes a nivel de kernel para:
- Ocultar procesos, archivos y claves de Registro.
- Perdurarse tras reinicios y dificultar la detección por soluciones tradicionales.
- Puede interceptar llamadas del sistema para monitorear y manipular el funcionamiento normal del OS.
- Otros mecanismos habituales:
- Servicios y drivers firmados o que se camuflan como componentes legítimos del sistema.
- Modificaciones en el arranque para cargar sus módulos antes de herramientas de seguridad.

Hash real de referencia (SHA-256):
Muestra pública asociada a FinFisher / FinSpy:
Code:
e6e6eaad6d10c08baf0da7a2b3cb31ed2f8d1fd3fb70a278c6d9b96f76da87d2

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus + Anti-rootkit avanzado:
    - Ejecutar escaneos completos con el motor de AV de GetOverX Shield, incluyendo:
    - Directorios de sistema.
    - Drivers, servicios y carpetas de usuario.
    - Utilizar funciones avanzadas (anti-rootkit) para:
    - Detectar drivers o módulos de kernel ocultos.
    - Identificar entradas sospechosas en la cadena de arranque y servicios del sistema.
    - Cuarentenar y eliminar:
    - Binarios asociados a FinFisher.
    - Drivers maliciosos o manipulados.

  • HIPS / EDR – Vigilancia de comportamiento:
    - Activar reglas de EDR para detectar:
    - Keyloggers (procesos que acceden a APIs de teclado de forma continua sin justificación).
    - Captura de pantalla persistente o lectura masiva de buffers de pantalla.
    - Acceso frecuente a datos de múltiples aplicaciones de mensajería, navegadores y clientes de correo.
    - Configurar respuesta automática para:
    - Matar procesos que muestren comportamiento típico de spyware gubernamental.
    - Registrar los eventos (proceso, usuario, host, tipo de acceso) en los logs unificados para análisis forense.

  • Control de comunicaciones salientes (Firewall):
    - Restringir y monitorizar:
    - Conexiones salientes hacia dominios/IPs desconocidos, especialmente desde estaciones de trabajo de alto valor.
    - Crear reglas para:
    - Bloquear canales de exfiltración sospechosos (HTTP/HTTPS cifrado hacia destinos no autorizados, túneles).
    - Usar listas de permitidos (allowlists) para endpoints críticos, permitiendo sólo destinos aprobados.

  • Endurecimiento del sistema y auditoría:
    - Revisar:
    - Drivers cargados, servicios instalados y módulos de arranque.
    - Cualquier driver no firmado o con firma irregular que no pertenezca al inventario oficial.
    - Activar protección de integridad:
    - Políticas que impidan la carga de drivers no firmados o no autorizados.
    - Realizar auditorías periódicas:
    - Comparar la lista de componentes de kernel con una línea base conocida limpia.
    - Verificar que no existan objetos ocultos (procesos, archivos, claves de registro) según la visión del kernel vs herramientas de usuario.

  • Respuesta y remediación:
    - Ante sospecha o confirmación de FinFisher:
    - Aislar la máquina de la red para cortar exfiltración.
    - Extraer evidencias (imagen de disco, memoria) para análisis forense.
    - Recomendar:
    - Cambiar todas las credenciales que hayan sido usadas en el equipo comprometido (correo, VPN, sistemas internos, banca, etc.).
    - Implementar MFA en todos los servicios críticos para mitigar el impacto de claves robadas.

Notas opcionales:
- FinFisher / FinSpy es un ejemplo de spyware “de nivel estatal” o gubernamental, por lo que su detección puede indicar una campaña dirigida de alta criticidad contra la organización o persona afectada.]]> <![CDATA[SPYWARE – AgentTesla]]> https://forum.getoverx.com/showthread.php?tid=29 Sat, 29 Nov 2025 15:37:20 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=29 Nombre: AgentTesla

Categoría: RAT / Spyware

Objetivo principal: Robo de contraseñas e información sensible

Año / Periodo de actividad: 2014 – presente

Comportamiento (lo que hace y archivos que afecta):
- Malware tipo RAT/Spyware distribuido habitualmente por campañas de spam, cracks y instaladores falsos.
- Enfocado en la recolección de credenciales e información sensible desde el equipo infectado.
- Funcionalidades principales:
  • Keylogging:
    Registra las pulsaciones de teclado para capturar:
    - Usuarios y contraseñas.
    - Mensajes escritos en chat/correo.
    - Cualquier texto introducido en formularios.
  • Captura de portapapeles:
    Lee el contenido del portapapeles para robar:
    - Contraseñas copiadas/pegadas.
    - Enlaces de acceso.
    - Direcciones de criptowallet o datos sensibles copiados temporalmente.
  • Exfiltración vía SMTP o FTP:
    - Envía la información robada a los operadores usando:
    - Cuentas de correo SMTP configuradas en el malware.
    - Servidores FTP configurados de antemano.
    - En muchas campañas utiliza proveedores legítimos de correo para camuflar el tráfico.
  • Robo de cookies y credenciales:
    - Extrae cookies de navegadores, datos de autocompletado y credenciales almacenadas.
    - Puede apuntar a:
    - Navegadores web (Chrome, Edge, Firefox, etc.).
    - Clientes de correo y FTP.
    - Aplicaciones con credenciales guardadas localmente.
- Archivos afectados:
- Bases de datos locales de navegadores y aplicaciones (credenciales, cookies, sesiones).
- Archivos de configuración con usuarios/contraseñas.
- No cifra ni destruye archivos; su foco es puramente la exfiltración de datos.

Persistencia:
- Suele implementar mecanismos de persistencia como:
  • Entradas en claves de Registro de inicio automático (Run/RunOnce).
  • Copias del binario en carpetas de usuario (AppData, Roaming, etc.) con nombres que imitan software legítimo.
  • Tareas programadas que relanzan el ejecutable tras reinicios.
- El objetivo es mantenerse activo a largo plazo para seguir robando credenciales y sesiones nuevas.

Hash real de referencia (SHA-256):
Muestra pública asociada a AgentTesla:
Code:
8e2165cdb0e312c461c9fc3cdd8f2bf3c9ff37ac2e4fb5b2b9c90e2f73855b8a

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Bloquear tráfico saliente SMTP (Firewall):
    - En el módulo de firewall de GetOverX Shield:
    - Restringir o bloquear tráfico saliente SMTP directo (puertos 25/465/587) desde equipos de usuario.
    - Permitir sólo:
    - Servidores de correo corporativos autorizados.
    - Gateways de correo controlados por la organización.
    - Registrar y alertar:
    - Intentos de conexión SMTP hacia servidores externos desconocidos.
    - Picos de envío de correo desde estaciones que normalmente no actúan como MTA.

  • Análisis de comportamiento (EDR / HIPS):
    - Activar reglas de EDR para detectar:
    - Procesos que acceden de forma continuada a:
    - APIs de teclado (indicadores de keylogging).
    - Portapapeles y bases de datos de credenciales de navegadores.
    - Acceso simultáneo a múltiples almacenes de credenciales (navegadores, FTP, correo).
    - Configurar respuesta automática para:
    - Matar el proceso sospechoso cuando se detecte patrón típico de stealer/RAT.
    - Registrar los eventos en los logs unificados (proceso, usuario, host, tipo de acceso).
    - Revisar procesos que abren conexiones salientes por SMTP/FTP justo después de la recolección de datos.

  • Regla YARA basada en strings internas (AV + YARA):
    - Crear e integrar reglas YARA específicas para AgentTesla:
    - Basadas en cadenas internas características (strings incrustadas, patrones de configuración, rutas, protocolos).
    - Usar estas reglas:
    - En el motor AV de GetOverX Shield (si integra soporte YARA) para escaneos programados y bajo demanda.
    - En análisis de laboratorio / Sandbox para detectar variantes ofuscadas.
    - Escanear:
    - Directorios de usuario (Descargas, AppData, Temp).
    - Repositorios donde se reciban adjuntos o instaladores (shares de TI, servidores de correo).

  • Medidas adicionales recomendadas:
    - Endurecer el uso de contraseñas:
    - Fomentar gestores de contraseñas y MFA en servicios críticos (correo, VPN, paneles de hosting).
    - Evitar almacenar credenciales en texto plano o en documentos locales.
    - Revisar periódicamente:
    - Históricos de acceso a cuentas críticas (logins desde IPs/países inusuales).
    - Configuración de clientes de correo y FTP en equipos de usuario.

Notas opcionales:
- AgentTesla es uno de los infostealers/RAT más comunes en campañas masivas; su capacidad para exfiltrar credenciales vía SMTP/FTP lo convierte en una pieza frecuente en cadenas de compromiso que terminan en robo de cuentas, fraude y despliegue de otros malware.]]> Nombre: AgentTesla

Categoría: RAT / Spyware

Objetivo principal: Robo de contraseñas e información sensible

Año / Periodo de actividad: 2014 – presente

Comportamiento (lo que hace y archivos que afecta):
- Malware tipo RAT/Spyware distribuido habitualmente por campañas de spam, cracks y instaladores falsos.
- Enfocado en la recolección de credenciales e información sensible desde el equipo infectado.
- Funcionalidades principales:
  • Keylogging:
    Registra las pulsaciones de teclado para capturar:
    - Usuarios y contraseñas.
    - Mensajes escritos en chat/correo.
    - Cualquier texto introducido en formularios.
  • Captura de portapapeles:
    Lee el contenido del portapapeles para robar:
    - Contraseñas copiadas/pegadas.
    - Enlaces de acceso.
    - Direcciones de criptowallet o datos sensibles copiados temporalmente.
  • Exfiltración vía SMTP o FTP:
    - Envía la información robada a los operadores usando:
    - Cuentas de correo SMTP configuradas en el malware.
    - Servidores FTP configurados de antemano.
    - En muchas campañas utiliza proveedores legítimos de correo para camuflar el tráfico.
  • Robo de cookies y credenciales:
    - Extrae cookies de navegadores, datos de autocompletado y credenciales almacenadas.
    - Puede apuntar a:
    - Navegadores web (Chrome, Edge, Firefox, etc.).
    - Clientes de correo y FTP.
    - Aplicaciones con credenciales guardadas localmente.
- Archivos afectados:
- Bases de datos locales de navegadores y aplicaciones (credenciales, cookies, sesiones).
- Archivos de configuración con usuarios/contraseñas.
- No cifra ni destruye archivos; su foco es puramente la exfiltración de datos.

Persistencia:
- Suele implementar mecanismos de persistencia como:
  • Entradas en claves de Registro de inicio automático (Run/RunOnce).
  • Copias del binario en carpetas de usuario (AppData, Roaming, etc.) con nombres que imitan software legítimo.
  • Tareas programadas que relanzan el ejecutable tras reinicios.
- El objetivo es mantenerse activo a largo plazo para seguir robando credenciales y sesiones nuevas.

Hash real de referencia (SHA-256):
Muestra pública asociada a AgentTesla:
Code:
8e2165cdb0e312c461c9fc3cdd8f2bf3c9ff37ac2e4fb5b2b9c90e2f73855b8a

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Bloquear tráfico saliente SMTP (Firewall):
    - En el módulo de firewall de GetOverX Shield:
    - Restringir o bloquear tráfico saliente SMTP directo (puertos 25/465/587) desde equipos de usuario.
    - Permitir sólo:
    - Servidores de correo corporativos autorizados.
    - Gateways de correo controlados por la organización.
    - Registrar y alertar:
    - Intentos de conexión SMTP hacia servidores externos desconocidos.
    - Picos de envío de correo desde estaciones que normalmente no actúan como MTA.

  • Análisis de comportamiento (EDR / HIPS):
    - Activar reglas de EDR para detectar:
    - Procesos que acceden de forma continuada a:
    - APIs de teclado (indicadores de keylogging).
    - Portapapeles y bases de datos de credenciales de navegadores.
    - Acceso simultáneo a múltiples almacenes de credenciales (navegadores, FTP, correo).
    - Configurar respuesta automática para:
    - Matar el proceso sospechoso cuando se detecte patrón típico de stealer/RAT.
    - Registrar los eventos en los logs unificados (proceso, usuario, host, tipo de acceso).
    - Revisar procesos que abren conexiones salientes por SMTP/FTP justo después de la recolección de datos.

  • Regla YARA basada en strings internas (AV + YARA):
    - Crear e integrar reglas YARA específicas para AgentTesla:
    - Basadas en cadenas internas características (strings incrustadas, patrones de configuración, rutas, protocolos).
    - Usar estas reglas:
    - En el motor AV de GetOverX Shield (si integra soporte YARA) para escaneos programados y bajo demanda.
    - En análisis de laboratorio / Sandbox para detectar variantes ofuscadas.
    - Escanear:
    - Directorios de usuario (Descargas, AppData, Temp).
    - Repositorios donde se reciban adjuntos o instaladores (shares de TI, servidores de correo).

  • Medidas adicionales recomendadas:
    - Endurecer el uso de contraseñas:
    - Fomentar gestores de contraseñas y MFA en servicios críticos (correo, VPN, paneles de hosting).
    - Evitar almacenar credenciales en texto plano o en documentos locales.
    - Revisar periódicamente:
    - Históricos de acceso a cuentas críticas (logins desde IPs/países inusuales).
    - Configuración de clientes de correo y FTP en equipos de usuario.

Notas opcionales:
- AgentTesla es uno de los infostealers/RAT más comunes en campañas masivas; su capacidad para exfiltrar credenciales vía SMTP/FTP lo convierte en una pieza frecuente en cadenas de compromiso que terminan en robo de cuentas, fraude y despliegue de otros malware.]]>