A los usuarios de Amazon se les ha recomendado tomar sus previsiones ante una campaña de phishing masiva creada específicamente para ellos. De acuerdo con algunos reportes, a los usuarios de la popular plataforma de comercio electrónico se les están enviando documentos de Microsoft Word vía correo electrónico que contienen código macro que descarga a Locky, una variante de ransomware que se descubrió desde febrero pasado.
La investigación de Comodo Threat Research Labs reveló que los usuarios de Amazon han estado recibiendo correos electrónicos falsos que afirman provenir del gigante del comercio electrónico, con la dirección auto-shipping@amazon.com y el asunto “Su Orden de Amazon.com se ha Enviado (#code)”.
El correo electrónico carece de contenido, y viene acompañado de un documento de Microsoft Word como un archivo adjunto. El documento de Word está en blanco pero contiene macros, una serie de códigos diseñados para automatizar las tareas que se utilizan con más frecuencia en las aplicaciones. Dada su naturaleza potencialmente dañina, los macros se inhabilitan de manera predeterminada en los productos de Microsoft Office.
Los destinatarios del archivo infectado habilitan inconscientemente el contenido del documento, después de lo cual un archivo ejecutable se descarga de la web y se ejecuta automáticamente. Los investigadores de Comodo han identificado a la carga como el ransomware Locky.
Locky (que Trend Micro detectó como Ransom_LOCKY.A) encripta los archivos que coinciden con una larga lista de extensiones, algunas de las cuales comprenden archivos de medios y de código fuente así como documentos de Office y PDF, e incluso los datos de la cartera de bitcoins del usuario. Asimismo, termina la función de tomar una ‘instantánea’ de la computadora, una característica de Windows integrada que respalda automáticamente las copias o imágenes de los archivos de la computadora. También puede encriptar los archivos en cualquier unidad de disco montado al que pueda acceder, como las unidades de disco removibles y los recursos compartidos de la red (los servidores viz. Y otras computadoras conectadas que corren Windows, Linux y OS X).
El malware añade la extensión .locky a los archivos encriptados, después de lo cual cambia el fondo de pantalla del escritorio a una imagen que sirve como la nota de rescate, informando así a la víctima que los archivos han sido tomados como rehenes. Los archivos HTML que contienen la misma alerta se dejan en todas las carpetas donde hay un archivo encriptado. Se le instruye entonces a la víctima hacer un pago a través de la red Tor para recuperar los archivos, con pagos de entre 0.5 y 1 bitcoin ($235-$470 dólares al 26 de mayo de 2016).
La alerta que lanzó Comodo señala que la campaña de phishing comenzó el pasado 17 de mayo y duró 12 horas, y se estima que ha logrado enviar hasta 30 millones de mensajes de spam que afirman ser una actualización de órdenes de compra de Amazon.com, mientras que la firma de seguridad Proofpoint estima que estos mensajes de spam se enviaron a 100 millones de correo electrónico. El reporte también señaló que la campaña utilizó botnets que corren en máquinas virtuales y físicas secuestradas.
A pesar de su entrada relativamente reciente a la escena del ransomware, Locky cobró notoriedad cuando paralizó al Centro Médico Presbiteriano de Hollywood y obligó al hospital a pagar $17,000 dólares. Desde entonces ha infectado sistemas por todo el mundo, incluyendo una serie de ataques a instituciones de salud de Estados Unidos, a la sede del gobierno de Maharashtra de la India, a los consumidores de Australia Post, al Consejo de Salud del Distrito de Whanganui de Nueva Zelanda y a organizaciones de Hong Kong como la Facultad de Medicina de la Universidad China de Hong Kong.
Dada la alta tasa de infección de Locky – que una vez se estimó haber estado infectando a 30 dispositivos por minuto – no sorprende que los distribuidores del malware hayan comenzado a concentrarse en las empresas y usuarios europeos. De hecho, los datos más recientes de la firma de seguridad ESET apuntan a un aumento alarmante de detecciones de un malware basado en Javascript que llega como un archivo adjunto de correo no deseado. Su código está diseñado para descargar e instalar otros tipos de malware, la mayoría de los cuales son variantes del ransomware Locky.
Ondrej Kubovič de ESET indicó que los países europeos que registran el aumento más importante en las tasas de detección fueron Luxemburgo (67%), República Checa (60%), Austria (57%), Holanda (54%) y el Reino Unido (51%). Japón, Nueva Zelanda y Australia están teniendo un aumento similar de 71%, 53% y 45%, respectivamente (al 25 de mayo de 2016).
El Equipo de Preparación de Emergencia de Computadoras de los Estados Unidos (US-CERT) recomienda a los usuarios y las organizaciones tomar medidas preventivas para proteger sus dispositivos y su red, como son aplicar un plan de respaldo y recuperación de datos, inhabilitar los macros de los archivos recibidos por correo electrónico y tener cuidado con los correos electrónicos no solicitados, especialmente aquellos que contengan archivos adjuntos. Amazon también tiene una página de Ayuda, donde los usuarios pueden reportar los fraudes de phishing.
Leave a Reply