<![CDATA[GETOVERX FORUM Community Support - Adware]]> https://forum.getoverx.com/ Fri, 17 Apr 2026 09:59:27 +0000 MyBB <![CDATA[Pikabot]]> https://forum.getoverx.com/showthread.php?tid=116 Fri, 05 Dec 2025 16:32:06 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=116 Nombre: PikaBot

Categoría: Loader / Backdoor modular

Fecha de descubrimiento: Activo desde principios de 2023

Comportamiento (lo que hace y archivos que infecta):
PikaBot es un loader/backdoor modular para Windows, compuesto por:
- Un loader que llega al sistema (documentos maliciosos, spam, etc.).
- Un módulo principal (core) que ejecuta comandos y carga payloads desde el C2.

Capacidades:
- Inyección de código en procesos legítimos para evadir detección.
- Descarga y ejecución de payloads adicionales (stealers, RATs, ransomware).
- Ejecución de comandos remotos y enumeración del sistema.

Métodos de distribución:
- Campañas de spam masivo con adjuntos maliciosos y enlaces a archivos descargables.
- Documentos Office con macros maliciosas o explotación de vulnerabilidades.
- Tácticas similares a QakBot (correos de respuesta en hilos, señuelos corporativos, etc.).

A nivel de archivos:
- Crea binarios y DLL en %TEMP% y carpetas de usuario.
- Utiliza inyección en procesos legítimos, por lo que el código malicioso puede ejecutarse dentro de procesos de Windows o aplicaciones comunes.

Persistencia:
PikaBot suele:
- Establecer claves de autoejecución en el Registro.
- Usar tareas programadas para relanzarse en cada reinicio.
- Aprovechar el movimiento lateral dentro de la red para infectar más máquinas y mantener presencia.
Su objetivo principal es servir de “puente” para otros malware, por lo que una vez desplegado el payload final (p.ej., ransomware) la persistencia puede delegarse en ese malware.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como Pikabot:
Code:
e610bd62897abb63387e135b07aa906f860c88c7fafd8bb63836bf1baa2669af

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    Escanear todas las unidades (incluyendo unidades de red mapeadas) para detectar el loader y el core de PikaBot, así como los payloads secundarios que haya desplegado.

  • Firewall:
    - Bloquear conexiones salientes hacia dominios/IPs utilizados por PikaBot como C2.
    - Aplicar políticas estrictas para limitar comunicaciones salientes desde equipos estándar a solo destinos corporativos conocidos.

  • HIPS/EDR:
    Reglas recomendadas:
    - Detectar inyección de código en procesos legítimos y ejecución de módulos inusuales.
    - Monitorizar la creación de nuevos procesos iniciados por documentos Office, scripts o procesos poco habituales para un usuario normal.
    - Detectar carga de DLL/EXE en %TEMP% seguida de tráfico a dominios poco reputados.
    Configurar Kill/Block automático más logging extendido.

  • Sandbox:
    Usar la Sandbox para analizar:
    - Adjuntos de correo (DOCX, XLSX, ZIP, etc.).
    - “Actualizadores” o instaladores de origen dudoso.
    Observar si derivan en la descarga de un módulo que inyecta código y se conecta a C2.

  • Medidas posteriores al incidente:
    - Analizar el entorno para identificar payloads finales (stealers, RAT, ransomware) y erradicarlos.
    - Revisar logs de red y de endpoints para detectar movimiento lateral.
    - Reforzar filtrado de correo y formación a usuarios frente a adjuntos sospechosos.
]]> Nombre: PikaBot

Categoría: Loader / Backdoor modular

Fecha de descubrimiento: Activo desde principios de 2023

Comportamiento (lo que hace y archivos que infecta):
PikaBot es un loader/backdoor modular para Windows, compuesto por:
- Un loader que llega al sistema (documentos maliciosos, spam, etc.).
- Un módulo principal (core) que ejecuta comandos y carga payloads desde el C2.

Capacidades:
- Inyección de código en procesos legítimos para evadir detección.
- Descarga y ejecución de payloads adicionales (stealers, RATs, ransomware).
- Ejecución de comandos remotos y enumeración del sistema.

Métodos de distribución:
- Campañas de spam masivo con adjuntos maliciosos y enlaces a archivos descargables.
- Documentos Office con macros maliciosas o explotación de vulnerabilidades.
- Tácticas similares a QakBot (correos de respuesta en hilos, señuelos corporativos, etc.).

A nivel de archivos:
- Crea binarios y DLL en %TEMP% y carpetas de usuario.
- Utiliza inyección en procesos legítimos, por lo que el código malicioso puede ejecutarse dentro de procesos de Windows o aplicaciones comunes.

Persistencia:
PikaBot suele:
- Establecer claves de autoejecución en el Registro.
- Usar tareas programadas para relanzarse en cada reinicio.
- Aprovechar el movimiento lateral dentro de la red para infectar más máquinas y mantener presencia.
Su objetivo principal es servir de “puente” para otros malware, por lo que una vez desplegado el payload final (p.ej., ransomware) la persistencia puede delegarse en ese malware.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como Pikabot:
Code:
e610bd62897abb63387e135b07aa906f860c88c7fafd8bb63836bf1baa2669af

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    Escanear todas las unidades (incluyendo unidades de red mapeadas) para detectar el loader y el core de PikaBot, así como los payloads secundarios que haya desplegado.

  • Firewall:
    - Bloquear conexiones salientes hacia dominios/IPs utilizados por PikaBot como C2.
    - Aplicar políticas estrictas para limitar comunicaciones salientes desde equipos estándar a solo destinos corporativos conocidos.

  • HIPS/EDR:
    Reglas recomendadas:
    - Detectar inyección de código en procesos legítimos y ejecución de módulos inusuales.
    - Monitorizar la creación de nuevos procesos iniciados por documentos Office, scripts o procesos poco habituales para un usuario normal.
    - Detectar carga de DLL/EXE en %TEMP% seguida de tráfico a dominios poco reputados.
    Configurar Kill/Block automático más logging extendido.

  • Sandbox:
    Usar la Sandbox para analizar:
    - Adjuntos de correo (DOCX, XLSX, ZIP, etc.).
    - “Actualizadores” o instaladores de origen dudoso.
    Observar si derivan en la descarga de un módulo que inyecta código y se conecta a C2.

  • Medidas posteriores al incidente:
    - Analizar el entorno para identificar payloads finales (stealers, RAT, ransomware) y erradicarlos.
    - Revisar logs de red y de endpoints para detectar movimiento lateral.
    - Reforzar filtrado de correo y formación a usuarios frente a adjuntos sospechosos.
]]> <![CDATA[DarkGate Loader]]> https://forum.getoverx.com/showthread.php?tid=110 Fri, 05 Dec 2025 16:24:46 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=110 Nombre: DarkGate Loader

Categoría: Loader / Downloader (Malware-as-a-Service)

Fecha de descubrimiento: Observado al menos desde 2018, con campañas muy activas en 2023–2024

Comportamiento (lo que hace y archivos que infecta):
DarkGate es un loader comercial ofrecido como Malware-as-a-Service. Se usa para descargar y ejecutar otros payloads: infostealers, RATs y, en muchas campañas recientes, ransomware.
Llega normalmente mediante:
- Correos de phishing con adjuntos maliciosos (Office, enlaces a archivos AutoIt, etc.).
- Instaladores falsos de software (por ejemplo, campañas que explotan CVE-2024-21412 a través de instaladores MSI maliciosos).
- Mensajes en plataformas de colaboración como Microsoft Teams con enlaces engañosos.

Una vez ejecutado, puede:
- Abusar de scripts AutoIt y otros loaders intermedios.
- Contactar a un servidor de mando y control (C2).
- Descargar y ejecutar binarios adicionales (EXE/DLL) en %TEMP% y en carpetas de usuario.
- Realizar técnicas de evasión (anti-VM, ofuscación, etc.).

No “infecta” archivos de usuario en el sentido clásico, sino que crea/usa ejecutables y librerías temporales que funcionan como puente hacia otros malware más destructivos.

Persistencia:
DarkGate suele:
- Copiarse en rutas de usuario o sistema con nombres que imitan procesos legítimos.
- Crear claves de Registro (Run/RunOnce) o tareas programadas para relanzarse.
- Usarse como parte de una cadena más larga donde el malware final (por ejemplo un ransomware) establece su propia persistencia.
En campañas recientes también se ha observado su uso combinado con exploits de SmartScreen para ejecutarse con mínima interacción del usuario.

Hash real de referencia (SHA-256):
Muestra pública asociada a DarkGate:
Code:
8a2edeef9978d454882bfb233d9cd77505618b854f7899b27aeb095ff8ebb3f4

Mitigación con GetOverX Shield v3.0.2.0 o Superior:
  • Antivirus:
    Realizar un escaneo completo para detectar y eliminar el binario de DarkGate, así como scripts AutoIt, DLLs y ejecutables temporales descargados en la cadena de infección.

  • Firewall:
    Configurar reglas para bloquear conexiones hacia dominios/IPs asociados a C2 de loaders y cortar toda comunicación saliente sospechosa desde el host comprometido. Aislar el equipo si se observan conexiones inusuales justo después de abrir documentos o instaladores.

  • HIPS/EDR:
    Activar reglas que detecten:
    - Ejecución de scripts AutoIt / PowerShell que descargan contenido remoto.
    - Creación repentina de EXE/DLL en %TEMP% seguida de su ejecución.
    - Uso de procesos “legítimos” como LOLBins para cargar código (por ejemplo, msiexec, wscript, etc.).
    Configurar respuesta automática para matar el proceso, bloquear el hash y registrar el incidente.

  • Sandbox:
    Analizar en la Sandbox:
    - Adjuntos de correo (Excel, Word, PDF con enlaces).
    - Instaladores de software descargados fuera de fuentes oficiales.
    Validar su comportamiento antes de permitir la ejecución en el entorno real.

  • Medidas posteriores al incidente:
    - Revisar si se descargaron payloads adicionales (stealers, RAT, ransomware).
    - Eliminar tareas programadas y claves de Registro creadas por el loader.
    - Revisar sistemas vecinos por posible movimiento lateral.
]]> Nombre: DarkGate Loader

Categoría: Loader / Downloader (Malware-as-a-Service)

Fecha de descubrimiento: Observado al menos desde 2018, con campañas muy activas en 2023–2024

Comportamiento (lo que hace y archivos que infecta):
DarkGate es un loader comercial ofrecido como Malware-as-a-Service. Se usa para descargar y ejecutar otros payloads: infostealers, RATs y, en muchas campañas recientes, ransomware.
Llega normalmente mediante:
- Correos de phishing con adjuntos maliciosos (Office, enlaces a archivos AutoIt, etc.).
- Instaladores falsos de software (por ejemplo, campañas que explotan CVE-2024-21412 a través de instaladores MSI maliciosos).
- Mensajes en plataformas de colaboración como Microsoft Teams con enlaces engañosos.

Una vez ejecutado, puede:
- Abusar de scripts AutoIt y otros loaders intermedios.
- Contactar a un servidor de mando y control (C2).
- Descargar y ejecutar binarios adicionales (EXE/DLL) en %TEMP% y en carpetas de usuario.
- Realizar técnicas de evasión (anti-VM, ofuscación, etc.).

No “infecta” archivos de usuario en el sentido clásico, sino que crea/usa ejecutables y librerías temporales que funcionan como puente hacia otros malware más destructivos.

Persistencia:
DarkGate suele:
- Copiarse en rutas de usuario o sistema con nombres que imitan procesos legítimos.
- Crear claves de Registro (Run/RunOnce) o tareas programadas para relanzarse.
- Usarse como parte de una cadena más larga donde el malware final (por ejemplo un ransomware) establece su propia persistencia.
En campañas recientes también se ha observado su uso combinado con exploits de SmartScreen para ejecutarse con mínima interacción del usuario.

Hash real de referencia (SHA-256):
Muestra pública asociada a DarkGate:
Code:
8a2edeef9978d454882bfb233d9cd77505618b854f7899b27aeb095ff8ebb3f4

Mitigación con GetOverX Shield v3.0.2.0 o Superior:
  • Antivirus:
    Realizar un escaneo completo para detectar y eliminar el binario de DarkGate, así como scripts AutoIt, DLLs y ejecutables temporales descargados en la cadena de infección.

  • Firewall:
    Configurar reglas para bloquear conexiones hacia dominios/IPs asociados a C2 de loaders y cortar toda comunicación saliente sospechosa desde el host comprometido. Aislar el equipo si se observan conexiones inusuales justo después de abrir documentos o instaladores.

  • HIPS/EDR:
    Activar reglas que detecten:
    - Ejecución de scripts AutoIt / PowerShell que descargan contenido remoto.
    - Creación repentina de EXE/DLL en %TEMP% seguida de su ejecución.
    - Uso de procesos “legítimos” como LOLBins para cargar código (por ejemplo, msiexec, wscript, etc.).
    Configurar respuesta automática para matar el proceso, bloquear el hash y registrar el incidente.

  • Sandbox:
    Analizar en la Sandbox:
    - Adjuntos de correo (Excel, Word, PDF con enlaces).
    - Instaladores de software descargados fuera de fuentes oficiales.
    Validar su comportamiento antes de permitir la ejecución en el entorno real.

  • Medidas posteriores al incidente:
    - Revisar si se descargaron payloads adicionales (stealers, RAT, ransomware).
    - Eliminar tareas programadas y claves de Registro creadas por el loader.
    - Revisar sistemas vecinos por posible movimiento lateral.
]]> <![CDATA[ADWARE – Mindspark Toolbar]]> https://forum.getoverx.com/showthread.php?tid=45 Sat, 29 Nov 2025 15:48:59 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=45 Nombre: Mindspark Toolbar

Categoría: Adware / Browser Hijacker

Descripción general:
Mindspark es una familia de toolbars y extensiones de navegador clasificadas como adware/hijacker. Suelen distribuirse empaquetadas con instaladores gratuitos o como “utilidades” de navegador (barras de herramientas, supuestos optimizadores, juegos, etc.). Una vez instaladas, modifican la experiencia de navegación para mostrar publicidad adicional y redirigir búsquedas.

Comportamiento (lo que hace y archivos que afecta):
  • Cambio de motor de búsqueda:
    - Modifica el motor de búsqueda por defecto del navegador.
    - Cambia la página de inicio y la página de nueva pestaña para apuntar a portales controlados por el proveedor de adware, generando ingresos por publicidad y tracking.
  • Instalación de extensiones invasivas:
    - Añade toolbars/extensiones que:
    - Inyectan anuncios adicionales en páginas legítimas.
    - Insertan banners, pop-ups o enlaces patrocinados.
    - Redirigen ciertas URLs o búsquedas hacia sitios afiliados.
  • Seguimiento y perfilado de usuario:
    - Puede registrar hábitos de navegación:
    - Páginas visitadas.
    - Consultas de búsqueda.
    - Clics en anuncios.
    - Esta información se usa para mostrar publicidad más dirigida o para analítica de uso.
  • Impacto en el sistema:
    - No cifra ni destruye archivos.
    - Afecta principalmente:
    - Configuración de navegadores (motor de búsqueda, home page, extensiones).
    - Configuración de proxy o parámetros de línea de comandos del navegador en algunos casos.

Persistencia (comportamiento típico):
  • Reinstala o reconfigura la toolbar/extensión si el usuario intenta quitarla sin eliminar todos los componentes.
  • Puede añadir:
    - Entradas en el Registro de inicio automático (Run/RunOnce).
    - Tareas programadas que relanzan el instalador o verificador de la toolbar.
  • En algunos casos modifica los accesos directos de los navegadores para añadir parámetros extra (URLs específicas o loaders).

Hash real de referencia (SHA-256):
Muestra pública asociada a Mindspark:
Code:
0e7b7f8706f9b4fb67ee63df978d2c44e1b41b9f13511f6f5f4b381083a2e1bc

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus / Limpieza de adware:
    - Ejecutar un escaneo completo con el motor AV de GetOverX Shield para detectar:
    - Instaladores de Mindspark.
    - Binarios auxiliares responsables de reinstalar la toolbar.
    - Eliminar o poner en cuarentena todos los componentes detectados.

  • HIPS – Protección de configuración del navegador:
    - Activar reglas HIPS que bloqueen:
    - Cambios no autorizados en la página de inicio y motor de búsqueda por procesos desconocidos.
    - Inyección silenciosa de extensiones en navegadores soportados.
    - Generar alertas cuando instaladores de terceros intenten modificar la configuración del navegador sin interacción clara del usuario.

  • Hardening del navegador:
    - Revisar manualmente:
    - Lista de extensiones y toolbars, eliminando las no deseadas.
    - Página de inicio, motor de búsqueda y página de nueva pestaña.
    - Restablecer el navegador a su configuración predeterminada si la infección ha sido agresiva.

  • Control de instaladores sospechosos:
    - Analizar en Sandbox instaladores “freeware” o paquetes que incluyan barras de herramientas o extensiones “extra”.
    - Evitar la instalación de software que incluya bundling agresivo de adware/hijackers.

  • Medidas adicionales:
    - Educar a usuarios para:
    - Desmarcar ofertas adicionales durante instalaciones rápidas.
    - Descargar software únicamente de sitios oficiales o de confianza.
    - Mantener navegadores y plugins actualizados para reducir vectores de abuso.

Notas opcionales:
- Aunque Mindspark suele clasificarse como PUP/Adware y no como malware destructivo, su capacidad para secuestrar la experiencia de navegación y rastrear hábitos del usuario lo convierte en un objetivo prioritario de limpieza en entornos corporativos.]]> Nombre: Mindspark Toolbar

Categoría: Adware / Browser Hijacker

Descripción general:
Mindspark es una familia de toolbars y extensiones de navegador clasificadas como adware/hijacker. Suelen distribuirse empaquetadas con instaladores gratuitos o como “utilidades” de navegador (barras de herramientas, supuestos optimizadores, juegos, etc.). Una vez instaladas, modifican la experiencia de navegación para mostrar publicidad adicional y redirigir búsquedas.

Comportamiento (lo que hace y archivos que afecta):
  • Cambio de motor de búsqueda:
    - Modifica el motor de búsqueda por defecto del navegador.
    - Cambia la página de inicio y la página de nueva pestaña para apuntar a portales controlados por el proveedor de adware, generando ingresos por publicidad y tracking.
  • Instalación de extensiones invasivas:
    - Añade toolbars/extensiones que:
    - Inyectan anuncios adicionales en páginas legítimas.
    - Insertan banners, pop-ups o enlaces patrocinados.
    - Redirigen ciertas URLs o búsquedas hacia sitios afiliados.
  • Seguimiento y perfilado de usuario:
    - Puede registrar hábitos de navegación:
    - Páginas visitadas.
    - Consultas de búsqueda.
    - Clics en anuncios.
    - Esta información se usa para mostrar publicidad más dirigida o para analítica de uso.
  • Impacto en el sistema:
    - No cifra ni destruye archivos.
    - Afecta principalmente:
    - Configuración de navegadores (motor de búsqueda, home page, extensiones).
    - Configuración de proxy o parámetros de línea de comandos del navegador en algunos casos.

Persistencia (comportamiento típico):
  • Reinstala o reconfigura la toolbar/extensión si el usuario intenta quitarla sin eliminar todos los componentes.
  • Puede añadir:
    - Entradas en el Registro de inicio automático (Run/RunOnce).
    - Tareas programadas que relanzan el instalador o verificador de la toolbar.
  • En algunos casos modifica los accesos directos de los navegadores para añadir parámetros extra (URLs específicas o loaders).

Hash real de referencia (SHA-256):
Muestra pública asociada a Mindspark:
Code:
0e7b7f8706f9b4fb67ee63df978d2c44e1b41b9f13511f6f5f4b381083a2e1bc

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus / Limpieza de adware:
    - Ejecutar un escaneo completo con el motor AV de GetOverX Shield para detectar:
    - Instaladores de Mindspark.
    - Binarios auxiliares responsables de reinstalar la toolbar.
    - Eliminar o poner en cuarentena todos los componentes detectados.

  • HIPS – Protección de configuración del navegador:
    - Activar reglas HIPS que bloqueen:
    - Cambios no autorizados en la página de inicio y motor de búsqueda por procesos desconocidos.
    - Inyección silenciosa de extensiones en navegadores soportados.
    - Generar alertas cuando instaladores de terceros intenten modificar la configuración del navegador sin interacción clara del usuario.

  • Hardening del navegador:
    - Revisar manualmente:
    - Lista de extensiones y toolbars, eliminando las no deseadas.
    - Página de inicio, motor de búsqueda y página de nueva pestaña.
    - Restablecer el navegador a su configuración predeterminada si la infección ha sido agresiva.

  • Control de instaladores sospechosos:
    - Analizar en Sandbox instaladores “freeware” o paquetes que incluyan barras de herramientas o extensiones “extra”.
    - Evitar la instalación de software que incluya bundling agresivo de adware/hijackers.

  • Medidas adicionales:
    - Educar a usuarios para:
    - Desmarcar ofertas adicionales durante instalaciones rápidas.
    - Descargar software únicamente de sitios oficiales o de confianza.
    - Mantener navegadores y plugins actualizados para reducir vectores de abuso.

Notas opcionales:
- Aunque Mindspark suele clasificarse como PUP/Adware y no como malware destructivo, su capacidad para secuestrar la experiencia de navegación y rastrear hábitos del usuario lo convierte en un objetivo prioritario de limpieza en entornos corporativos.]]> <![CDATA[ADWARE – Fireball]]> https://forum.getoverx.com/showthread.php?tid=30 Sat, 29 Nov 2025 15:38:01 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=30 Nombre: Fireball

Familia: Rafotech

Categoría: Adware + Browser Hijacker

Descripción general:
Fireball es una familia de adware/hijacker asociada a Rafotech. Suele distribuirse empaquetada con software gratuito o instaladores de terceros. Una vez presente en el sistema, secuestra parte de la configuración del navegador para redirigir el tráfico web, mostrar publicidad invasiva y empujar extensiones o plugins no deseados.

Comportamiento (lo que hace y archivos que afecta):
  • Cambia buscador y home page:
    - Modifica el buscador por defecto del navegador.
    - Cambia la página de inicio y la página de nueva pestaña por portales controlados por el adware, dirigidos a generar tráfico y monetizar vía publicidad y tracking.
  • Inyecta anuncios:
    - Inserta anuncios adicionales en páginas legítimas.
    - Puede añadir banners, pop-ups, enlaces patrocinados e intersticiales que no forman parte del contenido original.
  • Instala plugins sin permiso:
    - Intenta instalar extensiones, plugins o componentes adicionales sin consentimiento explícito del usuario.
    - Estas extensiones pueden:
    - Manipular resultados de búsqueda.
    - Redirigir a sitios afiliados.
    - Registrar actividad de navegación.

Persistencia (comportamiento típico):
  • Puede añadir entradas en el Registro para ejecutarse al inicio (Run/RunOnce).
  • Modifica accesos directos de navegadores para que lancen URLs o loaders específicos.
  • Reaplica la configuración de homepage/buscador incluso después de que el usuario la cambie manualmente.
  • Mantiene servicios o procesos residentes que vigilan y restauran sus ajustes en el navegador.

Hash real de referencia (SHA-256):
Muestra pública asociada a Fireball:
Code:
5d9ad8c166c6a7787d6fa3f6cf287e7fc7afcc9d6f75bd94e8368e6c21fb08c4

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus / Limpieza de adware:
    - Ejecutar un escaneo completo con el motor AV de GetOverX Shield para detectar:
    - Instaladores y componentes de Fireball.
    - Binarios auxiliares responsables de reinstalar extensiones o cambiar la configuración del navegador.
    - Eliminar o poner en cuarentena todos los artefactos detectados.

  • HIPS – Protección de configuración del navegador:
    - Configurar reglas HIPS para bloquear:
    - Cambios no autorizados de página de inicio, buscador por defecto y página de nueva pestaña.
    - Instalación silenciosa de extensiones/plugins por procesos no confiables.
    - Generar alertas cuando procesos desconocidos modifiquen ajustes de navegador o parámetros de sus accesos directos.

  • Hardening del navegador:
    - Revisar manualmente:
    - Lista de extensiones y plugins instalados, eliminando los no deseados.
    - Configuración de homepage, motor de búsqueda y página de nueva pestaña.
    - Restablecer el navegador a la configuración predeterminada si la contaminación es extensa.
    - Desactivar la instalación de extensiones desde orígenes no oficiales cuando sea posible.

  • Sandbox de instaladores sospechosos:
    - Analizar en Sandbox instaladores “gratuitos” o paquetes que incluyan barras de herramientas u “ofertas” adicionales.
    - Solo permitir la instalación en el entorno real si el análisis no muestra cambios agresivos en el navegador o comportamiento de hijacker/adware.

  • Medidas adicionales:
    - Educar a usuarios para:
    - Leer con atención los asistentes de instalación y desmarcar ofertas adicionales.
    - Descargar software únicamente de sitios oficiales o repositorios de confianza.
    - Mantener navegadores y sistemas actualizados para minimizar vectores de abuso.

Notas opcionales:
- Fireball puede no ser destructivo como un ransomware, pero su capacidad de secuestro de navegador, tracking y distribución de plugins no deseados lo convierte en un riesgo de privacidad y en un vector para futuras amenazas.]]> Nombre: Fireball

Familia: Rafotech

Categoría: Adware + Browser Hijacker

Descripción general:
Fireball es una familia de adware/hijacker asociada a Rafotech. Suele distribuirse empaquetada con software gratuito o instaladores de terceros. Una vez presente en el sistema, secuestra parte de la configuración del navegador para redirigir el tráfico web, mostrar publicidad invasiva y empujar extensiones o plugins no deseados.

Comportamiento (lo que hace y archivos que afecta):
  • Cambia buscador y home page:
    - Modifica el buscador por defecto del navegador.
    - Cambia la página de inicio y la página de nueva pestaña por portales controlados por el adware, dirigidos a generar tráfico y monetizar vía publicidad y tracking.
  • Inyecta anuncios:
    - Inserta anuncios adicionales en páginas legítimas.
    - Puede añadir banners, pop-ups, enlaces patrocinados e intersticiales que no forman parte del contenido original.
  • Instala plugins sin permiso:
    - Intenta instalar extensiones, plugins o componentes adicionales sin consentimiento explícito del usuario.
    - Estas extensiones pueden:
    - Manipular resultados de búsqueda.
    - Redirigir a sitios afiliados.
    - Registrar actividad de navegación.

Persistencia (comportamiento típico):
  • Puede añadir entradas en el Registro para ejecutarse al inicio (Run/RunOnce).
  • Modifica accesos directos de navegadores para que lancen URLs o loaders específicos.
  • Reaplica la configuración de homepage/buscador incluso después de que el usuario la cambie manualmente.
  • Mantiene servicios o procesos residentes que vigilan y restauran sus ajustes en el navegador.

Hash real de referencia (SHA-256):
Muestra pública asociada a Fireball:
Code:
5d9ad8c166c6a7787d6fa3f6cf287e7fc7afcc9d6f75bd94e8368e6c21fb08c4

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus / Limpieza de adware:
    - Ejecutar un escaneo completo con el motor AV de GetOverX Shield para detectar:
    - Instaladores y componentes de Fireball.
    - Binarios auxiliares responsables de reinstalar extensiones o cambiar la configuración del navegador.
    - Eliminar o poner en cuarentena todos los artefactos detectados.

  • HIPS – Protección de configuración del navegador:
    - Configurar reglas HIPS para bloquear:
    - Cambios no autorizados de página de inicio, buscador por defecto y página de nueva pestaña.
    - Instalación silenciosa de extensiones/plugins por procesos no confiables.
    - Generar alertas cuando procesos desconocidos modifiquen ajustes de navegador o parámetros de sus accesos directos.

  • Hardening del navegador:
    - Revisar manualmente:
    - Lista de extensiones y plugins instalados, eliminando los no deseados.
    - Configuración de homepage, motor de búsqueda y página de nueva pestaña.
    - Restablecer el navegador a la configuración predeterminada si la contaminación es extensa.
    - Desactivar la instalación de extensiones desde orígenes no oficiales cuando sea posible.

  • Sandbox de instaladores sospechosos:
    - Analizar en Sandbox instaladores “gratuitos” o paquetes que incluyan barras de herramientas u “ofertas” adicionales.
    - Solo permitir la instalación en el entorno real si el análisis no muestra cambios agresivos en el navegador o comportamiento de hijacker/adware.

  • Medidas adicionales:
    - Educar a usuarios para:
    - Leer con atención los asistentes de instalación y desmarcar ofertas adicionales.
    - Descargar software únicamente de sitios oficiales o repositorios de confianza.
    - Mantener navegadores y sistemas actualizados para minimizar vectores de abuso.

Notas opcionales:
- Fireball puede no ser destructivo como un ransomware, pero su capacidad de secuestro de navegador, tracking y distribución de plugins no deseados lo convierte en un riesgo de privacidad y en un vector para futuras amenazas.]]>