La imagen muestra un fondo azul con un texto centrado en letras blancas que muestra la palabra Hancitor (2016)

Última modificación: 2024-06-24

Historia: Hancitor es un malware que se identificó por primera vez en 2016. Es conocido por su capacidad para descargar y ejecutar otros tipos de malware en los sistemas infectados, generalmente troyanos bancarios, ransomware y otros programas maliciosos. Durante su apogeo, se convirtió en un componente significativo del ecosistema de cibercrimen, facilitando múltiples campañas de infectación y robo de datos.

Propagación e Infección: Hancitor, también conocido como Chanitor, se distribuyó principalmente a través de campañas de correo electrónico de phishing. Estos correos eran diseñados para parecer legítimos, con asuntos y contenido que engañaban a los usuarios para que abrieran documentos adjuntos maliciosos o hicieran clic en enlaces que descargaban el malware.

  1. Correos Electrónicos de Phishing:

    • Los atacantes enviaban correos que fingían ser de empresas legítimas.
    • Podían incluir facturas falsas, notificaciones de entrega o documentos de recursos humanos.
  2. Documentos Maliciosos:

    • Los correos contenían documentos de Word o Excel adjuntos.
    • Estos documentos estaban equipados con macros maliciosas.
    • Cuando el usuario complacía la sugerencia del documento para "Habilitar Contenido" (es decir, activar macros), se ejecutaban las macros que descargaban e instalaban Hancitor en el sistema.
  3. Exploits y Vulnerabilidades:

    • En algunos casos, los correos incluían enlaces a sitios web comprometidos que explotaban vulnerabilidades del navegador o del sistema operativo para descargar Hancitor silenciosamente.

Efectos: Una vez instalado, Hancitor iniciaba una serie de actividades malintencionadas:

  • Descarga de Carga Útil:

    • Actuaba como un dropper, lo que significa que su principal función era descargar y ejecutar otros tipos de malware en el sistema comprometido. Comúnmente, esto incluía troyanos bancarios como Vawtrak (también conocido como Neverquest) y Ponemik.
  • Robo de Credenciales:

    • Obtener datos sensibles, como credenciales de acceso a cuentas, a través de registradores de teclas o interceptando el tráfico del navegador.
  • Persistencia:

    • Modificación del registro de Windows y de otros componentes del sistema para asegurar que el malware se ejecutaba cada vez que el sistema se iniciaba.
  • Exfiltración de Datos:

    • Enviar los datos robados a servidores de comando y control (C2) bajo el control de los atacantes.
  • Transformación y Actualización:

    • Como muchos tipos de malware modernos, Hancitor podía actualizarse y evolucionar para evadir las detecciones antimalware, haciendo que la lucha contra él fuera especialmente difícil.

Mitigación y Defensa: Combatir Hancitor requería un enfoque multifacético, que combinaba buenas prácticas de seguridad cibernética, herramientas técnicas y concienciación del usuario.

  1. Educación del Usuario:

    • Capacitación constante sobre los riesgos del phishing y cómo identificar correos electrónicos sospechosos.
    • Evitar habilitar macros en documentos adjuntos de correos electrónicos de remitentes desconocidos.
  2. Soluciones Técnicas:

    • Uso de software antivirus y antimalware actualizado.
    • Implementación de filtros de correo electrónico avanzados para detectar y bloquear correos de phishing.
    • Habilitación de protecciones avanzadas en el software MS Office, como la desactivación predeterminada de macros.
  3. Parches y Actualizaciones:

    • Mantener el sistema operativo, navegadores y todo el software actualizado para cerrar las vulnerabilidades explotables.
  4. Monitorización y Respuesta:

    • Monitorización de red y logs para detectar actividades sospechosas.
    • Respuesta rápida ante incidentes de seguridad, incluyendo la eliminación de malware y la recuperación del sistema a un estado seguro.

Hancitor (2016) ilustra cómo los cibercriminales pueden combinar múltiples técnicas de ingeniería social y exploits técnicos para comprometer sistemas y redes de manera efectiva, y subraya la necesidad de una defensa en profundidad para mitigar tales amenazas.




Colaboraciónes de nuestros usuarios

¿Tienes algo que agregar? ¡Déjanos tu colaboración!