La ofuscación del código dificulta el análisis y la mitigación de esta amenaza maliciosa.
Investigadores de seguridad de la empresa SonicWall han descubierto recientemente un nuevo malware dirigido a cuentas de Gmail. El programa malicioso, denominado MalAgent.AutoITBot, se propaga como un archivo ejecutable bajo el nombre de «File.exe» y utiliza diversas tácticas para comprometer los datos del usuario, incluyendo la interceptación de datos del portapapeles, la grabación de pulsaciones de teclas y el posible control de dispositivos de entrada.
Una vez ejecutado, MalAgent.AutoITBot intenta abrir la página de inicio de sesión de Gmail utilizando navegadores populares como Microsoft Edge, Google Chrome y Mozilla Firefox. Sin embargo, las capacidades de este malware van mucho más allá del acceso a cuentas de correo electrónico.
El objetivo principal de este bot es el robo de datos y la manipulación del sistema. Es capaz de registrar las pulsaciones de teclas, leer el contenido del portapapeles e incluso controlar la entrada desde el teclado y el ratón. Estas capacidades permiten al malware recopilar información confidencial, como nombres de usuario, contraseñas y otros datos importantes.
Además, MalAgent.AutoITBot puede reiniciar o apagar el dispositivo infectado, ejecutar procesos en nombre de otros usuarios y bloquear la entrada del usuario cuando detecta herramientas de depuración. Esta función anti-análisis dificulta el estudio del malware y la implementación de contramedidas, convirtiéndose en un serio desafío para los especialistas en ciberseguridad.
El análisis del programa, realizado por el equipo de SonicWall, reveló que el archivo estaba fuertemente ofuscado y utilizaba múltiples bibliotecas de red con identificadores poco claros. Esta confusión complica la comprensión de las acciones exactas e intenciones del malware.
Después de extraer el script, los investigadores descubrieron comandos que dirigían los navegadores a páginas de inicio de sesión de Gmail a través de «accounts.google.com». Sin embargo, el malware no se detiene ahí: también incluye enlaces para iniciar sesión en redes sociales populares. Este enfoque sugiere que el bot está diseñado para robar credenciales de una amplia variedad de servicios en línea, no limitándose solo a Gmail.
Particularmente preocupante es la capacidad de MalAgent.AutoITBot de ejecutar varios procesos de manera sigilosa. Por ejemplo, al iniciar Firefox, el malware crea en paralelo una página oculta mientras intenta establecer una conexión de red. Este comportamiento encubierto permite que el virus funcione sin ser detectado, dificultando su detección y neutralización tanto por parte de los usuarios como de las soluciones antivirus tradicionales.
Dadas todas estas capacidades, MalAgent.AutoITBot representa una seria amenaza tanto para usuarios privados como para organizaciones. Su capacidad para robar credenciales y manipular funciones del sistema subraya la importancia de ser cauteloso con archivos de origen desconocido.