15 mar. 2016

La botnet Dridex ahora propaga el ransoware Locky a través de JS

Según los investigadores de Trustwave, los operadores de la botnet de Dridex recientemente han cambiado el mecanismo de entrega en sus campañas de spam, así como el malware propagado a través de estas campañas: han comenzado a entregar el ransomware Locky.
La firma de seguridad ha observado una campaña masiva de spam de más 4 millones de correos, los cual representa más del 18 por ciento del spam total detectado. TrustWave también revela que la campaña no fue realiaza en forma continua, sino en ráfagas con picos de 200 mil correos por hora.

Aunque el spam proviene de la misma botnet utilizada para Dridex para propagar documentos con macros maliciosos, ahora la campaña ha cambiado el mecanismo de distribución y distribuyen archivos JavaScript (.JS) como el de la imagen.
Además, los ciberdelincuentes han cambiado el tipo de malware y ahora distribuyen el ransomware Locky. Una vez instalado en un equipo, Locky cifra los archivos locales y también incluye los recursos compartidos, aunque no estén asignados. También cambia el nombre de los archivos cifrados a un nombre aleatorio y con extensión .locky.

Cada víctima de Locky es dirigida a una página web en TOR, donde se encuentra la información del pago del rescate en Bitcoin.

A principios de febrero, los investigadores de FireEye revelaron que los ciberdelincuentes detrás de Dridex intensificaron su actividad. En enero, investigadores de IBM X-Force descubrieron nuevas variantes Dridex, utilizando el esquema de ataque del troyano Dyre, que ha estado inactivo desde noviembre de 2015.

Según un reciente informe de Fortinet, a mediados de febrero, Locky sólo necesitó dos semanas para convertirse en el segundo ransomware más importante con el 16,47 por ciento de los ataques. CryptoWall sigue siendo la amenaza más propagada con el 83,45% del total.

Al momento de escribir el presente, sólo 3 antivirus (de 56) detectan los archivos y scripts

Dr. Avalanche Labs ha analizado este malware aquí y aquí.

Fuente: Security Week

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!