25 ene. 2015

Propagación de adjuntos con CTBLocker

Al iniciar esta semana sorprendió ver la llegada, desde la madrugada, de correos evidentemente maliciosos conteniendo un archivo adjunto. Doblemente comprimido en un archivo ZIP con un ejecutable, (un programa en formato .SCR) que resulta ser malware.

Los envíos se observaron todo el lunes y continuaron el martes con una variante, correos en idioma Georgiano. Evidentemente una campaña de MalSpam (Spam Malicioso).
A diferencia de otras campañas, en cada correo individual que llegaba, cambiaba todo: remitente, servidor de origen, nombre de archivo adjunto, y cuerpo del mensaje. Visto en conjunto resulta evidente que era una campaña organizada que, por goteo a distintos destinatarios, pretendía infectar la PC.

Algo evidente desde el principio fue la nula o baja detección de los antivirus. Muestra de la calidad con que se generaron las mutaciónes del malware enviado.
El malware fue identificado por los antivirus recién después de varios días por un número creciente de productos. En promedio (y después de 4 días) 40 de 56 antivirus lo identifican según informa VirusTotal. A modo de referencia, para ESET la denominación es Win32/TrojanDownloader.Elenoocka.A, y para Microsoft TrojanDownloader:Win32/Dalexis.

Un análisis automatizado muestra como al ejecutar el SCR se abre un supuesto fax. Mientras que por detrás se descarga otro malware tipo ransomware. El malware llamado CTB-Locker ya se analizó en profundidad:
Guía sobre CTB-Locker (I)
Guía sobre CTB-Locker (y II)
Un blog del Reino Unido también analiza el caso de la variante del martes en idioma Georgiano.

Recomendaciones

Si hay algo que podemos comentar es que como usuarios podemos evitar por completo estas amenazas, más allá que los antivirus (aunque necesarios) no logran ponerse al día para detectar a tiempo las amenazas. Es una carrera en la que cada vez están más rezagados y llegan más tarde, debido al gigantesco número de variantes nuevas de malware que generan los delincuentes: 12 millones por mes en el 2014.
Los usuarios podemos protegernos con recomendaciones sencillas; como las que da el FBI:

Proteja su computadora del Ransomware:
  • Asegurase de tener un programa antivirus actualizado en su computadora
  • Habilite la actualización automática de parches para su sistema operativo y navegador
  • Use contraseñas fuertes, no use la misma contraseña para todo.
  • Use un bloqueador de ventanas emergentes
  • Solo descargue programas -especialmente los gratuitos- de sitios que conozca y confíe (el malware también puede llegar en juegos, programas de compartir archivos P2P y barras de herramientas personalizadas)
  • No abra adjuntos de correos no solicitados, incluso si vienen de gente de su lista de contactos, y nunca haga clic en las URL (enlaces) de correos no solicitados, aun en aquellos que parecen seguros. En vez de eso, cierre el correo y vaya directamente al sitio web de esa organización.
  • Tome las mismas precauciones en su teléfono móvil que las que toma cuando usa Internet en su computadora.
  • Para prevenir la pérdida de archivos esenciales debido a una infección con Ransomware, se recomienda que tanto individuos como empresas realicen regularmente copias de respaldo y almacenen la información respaldada fuera de la red.
Actualización 28/02: desde hoy los archivos .SCR llegan en comprimidos .CAB, con baja tasa de detección por parte de los AV.
Raúl de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!