Como ya comentado en ocasiones anteriores, hoy en día podemos ser víctimas de ciberataques procedentes desde los sitios o desde las fuentes más insospechadas, ya que los ciberdelincuentes siempre van un paso por delante de los que día a día luchamos por hacer de Internet una red más segura. Recientemente hemos conocido que un grupo de ciberdelincuentes denominado KovCoreG se ha dedicado a ofrecer actualizaciones de software fraudulentas supuestamente necesarias para el correcto funcionamiento de nuestros navegadores.

Al acceder a sitios web de temáticas muy diferentes entre sí, como pueden ser webs de contenido para adultos, webs de descarga de software pirata o buscadores de torrents, éstas ofrecen al usuario una actualización urgente de su navegador web para el correcto funcionamiento de este, ya se trate de Internet Explorer, Firefox o Chrome.

De esta manera los ciberdelincuentes dirigen al incauto usuario hacia a un sitio fraudulento en el que se ofrece la actualización supuestamente necesaria para su navegador web, así, dependiendo del navegador que esté utilizando el usuario para navegar, se reciben diferentes mensajes adaptados a cada caso. Se trata de una técnica que ya hemos visto en ocasiones anteriores, y ahora vuelve a repetirse.

Por ejemplo, a los usuarios que llegan a esta página a través de las propuestas Chrome o Firefox, se les pide que descarguen una actualización del navegador, mientras que, a los usuarios de Internet Explorer o Edge, se les pide que descarguen una actualización del componente Flash. De este modo los archivos a descargar en realidad eran ficheros JavaScript para Chrome y Firefox, o HTA para las propuestas de Microsoft, que instalaban Kovter en ambos casos.

Para los que no lo conozcáis, Kovter es un programa de descarga de malware que puede entregar código malicioso en modo de publicidad o ransomware, entre otros formatos.

Como te he comentado, el archivo que descarga el usuario es de tipo JavaScript en el caso de Google Chrome o Firefox y HTA si hacemos mención a Internet Explorer. Una vez realizada esta descarga y su posterior ejecución, comienza el proceso de comprobación del equipo.

Antes de realizar la instalación, verificará cuáles son las condiciones del sistema, sobre todo en lo que se refiere a la presencia de herramientas de seguridad, tales como antivirus, cortafuegos u otros sistemas. Tras asegurarse de que dichos sistemas están desactivados, desactualizados o incluso que no existe ninguno instalado, comienza con la descarga del instalador. Todo esto se lleva a cabo en un discreto segundo plano y sin que el usuario sea consciente de qué es lo que está ocurriendo en su dispositivo.

Por supuesto Kovter no es el principal peligro en sí. Actúa más como un intermediario, o lo que es lo mismo, tiene como función servir como puente a la llegada de más amenazas tales como Ransomware, los temidos troyanos bancarios, adware, y así hasta completar un listado bastante amplio. Tal y como podemos imaginar, algunas supondrán un peligro mayor que otras. Kovter puede entrar en nuestro equipo en modo publicidad o como ransomware. La mayoría de sitios en los que este problema ha sido detectado son webs de contenidos para adultos como por ejemplo Pornhub.

Escogen a sus víctimas

Uno de los aspectos más destacables y llamativos de esta amenaza es que escoge a sus víctimas muy cuidadosamente. Es decir, posee un filtro geográfico para afectar solo a usuarios que se encuentren en un país en concreto. Podría darse el caso de que el instalador se encuentre en tu equipo y que no se ejecute (o, mejor dicho, que no se complete la instalación) porque no estás dentro de la región deseada por los ciberdelincuentes.

Este problema puede quedar solucionado con la presencia de una herramienta de seguridad en el equipo por supuesto activa y actualizada. Un software antivirus sería capaz de detener la primera instalación, evitando de esta forma la llegada de otro software no deseado al dispositivo, siempre y cuando lo tengamos actualizado.

Otra recomendación es no acceder nunca a ningún tipo de contenido, descarga o actualización a través de pop-ups (ventanas emergentes) que aparecen en la parte superior de la pantalla, aunque estas te indiquen que necesitas actualizar cualquier software y mucho menos si te indican que tu ordenador ha sido infectado por un virus y que debes de pulsar en 'aceptar' para escanearlo inmediatamente, ya que en un porcentaje muy próximo al 100% se tratara de contenido utilizado por ciberdelincuentes para distribuir malware y, entonces sí, tu ordenador será víctima de estos.

Según las compañías de software antivirus tales como Bitdefender, Kaspersky, Norton, Avast, ESET, etc. catalogan a Kovter con una infinidad de calificativos exceptuando el de 'inofensivo'.

Ya para terminar quiero puntualizar que, aunque muchos expertos en ciberseguridad han dicho que esta campaña de infecciones por Kovter ha sido neutralizada en la mayoría de sitios, te puedo asegurar casi con total certeza, que volverá a activarse muy pronto. De hecho, en las últimas semanas se han detectado algunos casos en Yahoo.