El Cerber crypto-ransomware que apareció a principios de marzo de este año se ha superado a sí mismo al utilizar el correo electrónico como otra forma de distribuir el malware, según un reporte dado a conocer por la firma de seguridad Forcepoint.
Los investigadores de Forcepoint pudieron rastrear una campaña de correo electrónico que distribuía el malware a través de archivos doblemente comprimidos enviados como archivos adjuntos, los cuales contienen Windows Script Files (WSFs), que son documentos de texto que tienen código Extensible Markup Language (XML) y que son ejecutados por la utilería wscript.exe de Windows. De acuerdo con el reporte, los archivos WSF contenían un código Jscript ofuscado cuya carga final es el ransomware Cerber.
Nicholas Griffin de Forcepoint dijo que el uso diferente de un archivo doblemente comprimido que contiene un WSF permitió que el malware evadiera el filtro de spam del cliente de correo electrónico y el software de seguridad, especialmente el que utiliza el aprendizaje de máquinas. También intenta evadir el análisis heurístico al incluir contenido de correo electrónico que luce auténtico, particularmente el relacionado con la facturación. También agrega un botón de “darse de baja” (unsuscribe) que también dirige al mismo archivo ZIP.
El Cerber crypto-ransomware (que Trend Micro identificó como RANSOM_CERBER.A) infecta a un sistema como un archivo depositado por otro malware o como un archivo que los usuarios descargan y ejecutan sin advertirlo cuando visitan sitios maliciosos. Desde su descubrimiento de marzo pasado, su método de distribución típico ha sido mediante malvertisements (anuncios maliciosos) que utilizan un kit de explotación Nuclear que ataca programas y aplicaciones vulnerables y a las cuales no se les habían aplicado parches.
Al infectarse, los archivos del usuario se encriptan y es imposible acceder a ellos. Entonces se le instruye al usuario pagar 1.24 bitcoins (alrededor de $523 dólares al 4 de marzo de 2016), cantidad que se elevará a $1,046 dólares una semana después. Resulta interesante que Cerber investiga la ubicación de la computadora y se termina si se encuentra corriendo en países de la Comunidad de Estados Independientes (Azerbaiyán, Armenia, Bielorrusia, Gerogia, Kazakstán, Kirguizistán, Moldova, Rusia, Tayiskistán, Turkmenistán, Uzbekistán y Ucrania).
Cerber fue notable por hacer uso de una voz generada por computadora en lugar de desplegar la nota de rescate como una imagen para decir que los archivos del usuario se han encriptado. La técnica de intrusión se asemeja a la manera en que el famoso ransomware Locky se infiltra en una computadora a través de un macro malicioso integrado en los documentos de Word que se envían como archivos adjuntos de correo que trata de pasar como una factura.
Un análisis más exhaustivo de Cerber que realizó Trend Micro demostró que el ransomware viene con un archivo de configuración personalizable que permite la distribución para modificar los componentes del malware como son la nota de rescate, el usuario y los archivos que deseen encriptar.
Cerber también es un ejemplo de cómo el malware en general está siendo cada vez más accesible para las masas, el cual también se vende en el mercado negro en línea ruso. Ofrecido como ransomware como servicio (RaaS), los atacantes compran la licencia para utilizar el ransowmare mientras los autores del malware ganan comisiones por cada rescate pagado. Así, no hay un creador de amenazas específicos que utiliza el malware pero sí varios ‘afiliados’ que distribuyen sus propias creaciones del ransomware Cerber de diferentes formas.
De acuerdo con Griffin, la mayoría de las víctimas observadas de esta campaña de correo electrónico se encuentran actualmente en el Reino Unido y se prevé que se aplíe a otros países en el corto plazo.
Leave a Reply