Clase: Adware
Adware cubre programas diseñados para mostrar anuncios (generalmente en forma de pancartas), redirige las solicitudes de búsqueda a sitios web publicitarios y recopila datos de tipo marketing sobre el usuario (por ejemplo, qué tipos de sitios web visita) para mostrar publicidad personalizada en el ordenador. Además de mostrar anuncios y recopilar datos, estos tipos de programas generalmente no hacen que su presencia en el sistema sea conocida: no habrá señales del programa en la bandeja del sistema, y no habrá ninguna indicación en el menú del programa de que los archivos se hayan instalado. A menudo, los programas Adware no tienen ningún procedimiento de desinstalación y usan tecnologías que limitan con la tecnología de virus para ayudar al programa a penetrar sigilosamente en la computadora y pasar desapercibido. Penetración Hay dos formas principales en que Adware ingresa a la computadora de un usuario: está incorporada en algunos programas freeware y shareware de instalación no autorizada en la computadora de un usuario como resultado de una visita a un sitio web infectado. La mayoría de los programas freeware y shareware dejan de mostrar anuncios una vez que se han comprado y / o registrado. Pero estos programas a menudo usan utilidades incorporadas de Adware de terceros y, en algunos casos, estas utilidades permanecen instaladas en la computadora del usuario incluso una vez que se han registrado los programas. Además, la eliminación del componente Adware, que todavía está siendo utilizado por un programa para mostrar anuncios, podría causar un mal funcionamiento del programa. El principal objetivo de propagación de Adware a través del primer método es extraer un tipo de pago para el software mostrando anuncios al usuario (las partes que hacen los anuncios pagan a la agencia de publicidad, y la agencia de publicidad paga al desarrollador de Adware). Adware también ayuda a reducir los gastos para los desarrolladores de software (los ingresos de Adware los alienta a escribir nuevos programas y mejorar los ya existentes) y ayuda a reducir los costos para los usuarios también. Las tecnologías de hackers a menudo se usan cuando los componentes publicitarios se instalan en la computadora de un usuario después de visitar un sitio web infectado. Por ejemplo, se puede penetrar la computadora a través de una vulnerabilidad de navegador y se pueden usar troyanos diseñados para su instalación sigilosa (Trojan-Downloader o Trojan-Dropper). Los programas publicitarios que funcionan de esta manera a menudo se denominan secuestradores del navegador. Mostrar anuncios Hay dos formas principales en que se muestra la publicidad al usuario: mediante la descarga de texto e imágenes publicitarias a una computadora desde servidores web o FTP propiedad del anunciante que redirigen las solicitudes de búsqueda del navegador de Internet a sitios web publicitarios. En algunos casos, las solicitudes de redireccionamiento solo se realizan si la página web solicitada del usuario no está disponible, es decir, si hay un error en la URL. Recopilación de datos Además de mostrar anuncios, muchos sistemas publicitarios también recopilan datos sobre la computadora y el usuario, tales como: la dirección IP de la computadora, el sistema operativo y la versión del navegador una lista de los sitios más visitados, consultas de búsqueda, otros datos que pueden usarse para llevar a cabo campañas publicitarias posteriores. Nota: es importante no confundir el Adware que recopila datos con programas espía de troyanos. La diferencia es que Adware recopila datos con el consentimiento del usuario. Si Adware no notifica al usuario que está recopilando información, entonces se clasifica como un programa malicioso (Malware), específicamente cubierto por el comportamiento Trojan-Spy.Más información
Plataforma: Win32
Win32 es una API en sistemas operativos basados en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.Familia: AdWare.Win32.Agent
No family descriptionExamples
0D7B6A033ECBEB1D05B8942FCF81FD2ETactics and Techniques: Mitre*
TA0001
Initial Access
The adversary is trying to get into your network. Initial Access consists of techniques that use various entry vectors to gain their initial foothold within a network. Techniques used to gain a foothold include targeted spearphishing and exploiting weaknesses on public-facing web servers. Footholds gained through initial access may allow for continued access, like valid accounts and use of external remote services, or may be limited-use due to changing passwords.
T1566.001
Spearphishing Attachment
Adversaries may send spearphishing emails with a malicious attachment in an attempt to gain access to victim systems. Spearphishing attachment is a specific variant of spearphishing. Spearphishing attachment is different from other forms of spearphishing in that it employs the use of malware attached to an email. All forms of spearphishing are electronically delivered social engineering targeted at a specific individual, company, or industry. In this scenario, adversaries attach a file to the spearphishing email and usually rely upon User Execution to gain execution. Spearphishing may also involve social engineering techniques, such as posing as a trusted source.
TA0002
Execution
The adversary is trying to run malicious code. Execution consists of techniques that result in adversary-controlled code running on a local or remote system. Techniques that run malicious code are often paired with techniques from all other tactics to achieve broader goals, like exploring a network or stealing data. For example, an adversary might use a remote access tool to run a PowerShell script that does Remote System Discovery.
T1204.002
Malicious File
An adversary may rely upon a user opening a malicious file in order to gain execution. Users may be subjected to social engineering to get them to open a file that will lead to code execution. This user action will typically be observed as follow-on behavior from Spearphishing Attachment. Adversaries may use several types of files that require a user to execute them, including .doc, .pdf, .xls, .rtf, .scr, .exe, .lnk, .pif, .cpl, and .reg.
T1559.001
Component Object Model
Adversaries may use the Windows Component Object Model (COM) for local code execution. COM is an inter-process communication (IPC) component of the native Windows application programming interface (API) that enables interaction between software objects, or executable code that implements one or more interfaces. Through COM, a client object can call methods of server objects, which are typically binary Dynamic Link Libraries (DLL) or executables (EXE). Remote COM execution is facilitated by Remote Services such as Distributed Component Object Model (DCOM).
TA0005
Defense Evasion
The adversary is trying to avoid being detected. Defense Evasion consists of techniques that adversaries use to avoid detection throughout their compromise. Techniques used for defense evasion include uninstalling/disabling security software or obfuscating/encrypting data and scripts. Adversaries also leverage and abuse trusted processes to hide and masquerade their malware. Other tactics' techniques are cross-listed here when those techniques include the added benefit of subverting defenses.
T1112
Modify Registry
Adversaries may interact with the Windows Registry as part of a variety of other techniques to aid in defense evasion, persistence, and execution.
* © 2026 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.