Avast a descubierto una familia de malware la cual se encontro mediante el analizis de una tarea maliciosa que iniciaba el código PowerShell directamente desde una clave de registro dentro de la base de usuarios de Avast. Este actor de amenazas parece haber estado creando malware desde 2015 y parece ser de Eslovaquia. El repertorio del actor nombrado por Avast Certishell contiene algunas RAT, empaquetadores para cryptominers y por supuesto el ransomware.
El malware de esta persona cabe destacar que se distribuye con copias ilegales de canciones, películas, cracks y keygens de juegos y herramientas comunes (GTA SA, Mafia, Avast, Microsoft Office) que estaban alojados en uno de los servicios de intercambio de archivos checos y eslovacos más populares.
Esta familia de malware "Ceritshell" se divide en tres partes diferentes:
▸RAT con un servidor C&C sivpici.php5[.]sk(jerga checa/eslovaca para "estás jodido"), que tiene versiones AutoIT, C++ y Go.
▸Un Minero que se descarga de sitios web pirateados y comenzó con un script "que.vbsde" en la tarea.
▸Minero o ransomware descargado de sitios web pirateados y ejecutado desde un comando de PowerShell oculto en claves de registro.
Si quieres saber mas de este malware puedes leerlo aqui: https://decoded.avast.io/danielbenes/warez-users-fell-for-certishell/
