¿Que significa: 'Hancitor (2016)'?

Historia: Hancitor es un malware que se identificó por primera vez en 2016. Es conocido por su capacidad para descargar y ejecutar otros tipos de malware en los sistemas infectados, generalmente troyanos bancarios, ransomware y otros programas maliciosos. Durante su apogeo, se convirtió en un componente significativo del ecosistema de cibercrimen, facilitando múltiples campañas de infectación y robo de datos.

Propagación e Infección: Hancitor, también conocido como Chanitor, se distribuyó principalmente a través de campañas de correo electrónico de phishing. Estos correos eran diseñados para parecer legítimos, con asuntos y contenido que engañaban a los usuarios para que abrieran documentos adjuntos maliciosos o hicieran clic en enlaces que descargaban el malware.

1. Correos Electrónicos de Phishing:

   • Los atacantes enviaban correos que fingían ser de empresas legítimas.
   • Podían incluir facturas falsas, notificaciones de entrega o documentos de recursos humanos.

2. Documentos Maliciosos:

   • Los correos contenían documentos de Word o Excel adjuntos.
   • Estos documentos estaban equipados con macros maliciosas.
   • Cuando el usuario complacía la sugerencia del documento para "Habilitar Contenido" (es decir, activar macros), se ejecutaban las macros que descargaban e instalaban Hancitor en el sistema.

3. Exploits y Vulnerabilidades:

   • En algunos casos, los correos incluían enlaces a sitios web comprometidos que explotaban vulnerabilidades del navegador o del sistema operativo para descargar Hancitor silenciosamente.

Efectos: Una vez instalado, Hancitor iniciaba una serie de actividades malintencionadas:

• Descarga de Carga Útil:

  • Actuaba como un dropper, lo que significa que su principal función era descargar y ejecutar otros tipos de malware en el sistema comprometido. Comúnmente, esto incluía troyanos bancarios como Vawtrak (también conocido como Neverquest) y Ponemik.

• Robo de Credenciales:

  • Obtener datos sensibles, como credenciales de acceso a cuentas, a través de registradores de teclas o interceptando el tráfico del navegador.

• Persistencia:

  • Modificación del registro de Windows y de otros componentes del sistema para asegurar que el malware se ejecutaba cada vez que el sistema se iniciaba.

• Exfiltración de Datos:

  • Enviar los datos robados a servidores de comando y control (C2) bajo el control de los atacantes.

• Transformación y Actualización:

  • Como muchos tipos de malware modernos, Hancitor podía actualizarse y evolucionar para evadir las detecciones antimalware, haciendo que la lucha contra él fuera especialmente difícil.

Mitigación y Defensa: Combatir Hancitor requería un enfoque multifacético, que combinaba buenas prácticas de seguridad cibernética, herramientas técnicas y concienciación del usuario.

1. Educación del Usuario:

   • Capacitación constante sobre los riesgos del phishing y cómo identificar correos electrónicos sospechosos.
   • Evitar habilitar macros en documentos adjuntos de correos electrónicos de remitentes desconocidos.

2. Soluciones Técnicas:

   • Uso de software antivirus y antimalware actualizado.
   • Implementación de filtros de correo electrónico avanzados para detectar y bloquear correos de phishing.
   • Habilitación de protecciones avanzadas en el software MS Office, como la desactivación predeterminada de macros.

3. Parches y Actualizaciones:

   • Mantener el sistema operativo, navegadores y todo el software actualizado para cerrar las vulnerabilidades explotables.

4. Monitorización y Respuesta:

   • Monitorización de red y logs para detectar actividades sospechosas.
   • Respuesta rápida ante incidentes de seguridad, incluyendo la eliminación de malware y la recuperación del sistema a un estado seguro.

Hancitor (2016) ilustra cómo los cibercriminales pueden combinar múltiples técnicas de ingeniería social y exploits técnicos para comprometer sistemas y redes de manera efectiva, y subraya la necesidad de una defensa en profundidad para mitigar tales amenazas.