Aunque el número de familias de ransomware y sus variantes han tenido un crecimiento exponencial desde que inició el año 2016, los investigadores descubrieron esta vez un nuevo ransomware que es bastante “único” a su propia manera. De acuerdo con los hallazgos publicados en BleeplingComputer, el ransomware llamado RAA se creó totalmente usando JavaScript y se ha estado propagando mediante archivos adjuntos de correos electrónicos que se hacen pasar por archivos doc con nombres como mgJaXnwanXIS_doc_.js. Una vez que JavaScript se abre, encripta los archivos de la máquina infectada y exige un rescate que asciende a $250 dólares para liberar los archivos.
Al parecer, las infecciones de RAA despliegan la nota de rescate en ruso; sin embargo, es sólo cuestión de tiempo para que se distribuya más ampliamente y se adapte a otros idiomas. Además, el ransomware también infecta la computadora de la víctima al instalar Pony, un malware conocido por robar contraseñas que está integrado en el archivo JavaScript. Este malware puede recopilar las contraseñas del navegador y otra información de los usuarios desde la máquina infectada, y normalmente los hackers lo utilizan para reunir información crítica sobre los sistemas infectados. Pony es similar a los troyanos bancarios, pero su comportamiento no se manifestó en RAA.
El ransomware RAA se considera único ya que es raro ver malware del lado del cliente escrito en lenguajes basados en web como es JavaScript, que está diseñado principalmente para que los navegadores lo interpreten. En abril de 2016, Microsoft advirtió sobre un aumento de los archivos adjuntos maliciosos que contenían archivos JavaScript. Al mes siguiente, los investigadores de seguridad alertaron sobre correos electrónicos no deseados que suministran y distribuyen el ransomware Locky a través de archivos adjuntos .js. Tanto Locky como RAA utiliza archivos JavaScript como mecanismos para descargar malware – diseñados para bajar e instalar un programa de malware tradicional. Sin embargo, con RAA el ransomware en su totalidad está escrito en JavaScript.
El ransomware fue descubierto inicialmente por dos investigadores de seguridad, @JAMES_MHT and @benkow_, quienes aseguran que el ransomware RAA encripta los archivos usando un código de una biblioteca de código abierto que es muy fácil de usar. La biblioteca llamada CryptoJS maneja algoritmos de cifrado como AES, DES, etc. Por ejemplo, RAA analiza la máquina de la víctima y encripta archivos específicos con AES-256. Al igual que otras familias de ransomware, RAA agrega ‘.locked’ al final de los nombres de archivo. Afecta a las imágenes, Word, Excel y Photoshop, formatos de almacenamiento como los archivos zip y .rar, evitando los archivos de Programas, archivos de Windows, AppData y Microsoft.
“En este punto, no hay manera de desencriptar los archivos sin costo”, dijo Lawrence Abrams, fundador de Bleeping Computer, en su blog. Mientras tanto, se recomienda a los usuarios evitar abrir los archivos adjuntos con los nombres mencionados anteriormente, incluso si están contenidos en un archivo .zip.
Actualización, junio 21, 2016
Al hacer un análisis más a fondo, Trend Micro descubrió que el ransomware RAA (identificado como RANSOM_JSRAA.A) está escrito en JScript y no JavaScript. De acuerdo con un blog, el lenguaje de programación, JScript, está diseñado para los sistemas Windows® y es ejecutado por el motor Windows® Scripting Host a través de Microsoft Internet Explorer® (IE). Sin embargo, no puede ejecutarse a través del nuevo navegador Microsoft Edge®. JScript se asemeja a JavaScript porque ambos se derivan de ECMScript (un estándar para el lenguaje de programación). JScript es la implementación de ECMAScript mientras que JavaScript es la implementación Mozilla de ECMAScript. Jscript es capaz de acceder a los objetos que IE expone y algunos objetos de los sistemas como el WScript.
Se cree que los hackers detrás del ransomware RAA están utilizando el lenguaje de programación JScript para dificultar aún más la detección y facilitar más la ofuscación. La mayoría del malware está escrito en lenguajes de programación compilados en los que el ransomware a menudo se hace pasar por ejecutables. Por lo tanto, usar un lenguaje que no se utiliza normalmente para distribuir malware, como los lenguajes de programación, podría ser menos proclive a la detección. Asimismo, le da más tiempo a los criminales para maximizar sus ganancias mientras el ransomware sigue sin ser detectado.
Leave a Reply