News

El ransomware Cerber toma impulso con botnets Dridex

Los expertos en seguridad de FireEye detectaron a principios de mayo un aumento masivo del spam dedicado a propagar el programa chantajista Cerber. Los investigadores han establecido una conexión entre los brotes de Cerber y el hecho de que los atacantes estén sacando ventaja de la infraestructura de spam responsable de haber magnificado el potencial de destrucción del troyano financiero Dridex.

El cifrador-bloqueador Cerber, famoso por leerles a las víctimas sus demandas de viva voz (usando un sintetizador de voz), se descubrió este febrero. En algunos casos recurría un método clásico de distribución, utilizando los paquetes Magnitud y Nuclear para explotar una vulnerabilidad de día cero en Adobe Flash Player (CVE-2016-1019). Pero, según informes recientes de FireEye que datan del 4 de mayo, Cerber también se propaga mediante spam enviado por las redes zombi Dridex.

“Al asociarse con el mismo distribuidor de spam que tiene la capacidad comprobada de distribuir Dridex en grandes escalas, Cerber se ha convertido en una amenaza peligrosa similar a Dridex y Locky”, escribieron el martes los analistas de seguridad de FireEye.

Dridex es un troyano financiero que surgió como una amenaza significativa para los consumidores y negocios al tener como meta conseguir sus datos de cuentas bancarias. Sus métodos principales de distribución son las redes zombi capaces de enviar millones de mensajes de spam diarios.

El ransomware Cerber, según FireEye, sigue el mismo patrón que Dridex. Las víctimas reciben correos electrónicos con un archivo adjunto camuflado como una factura. Cuando el usuario abre el documento, se le pide que active las macros. Si lo hace, se descarga en el equipo un script VBS con código ofuscado, cuya principal función es descargar el malware final. Este método de infección ayuda a los delincuentes a evadir los portales de correo electrónico que pueden bloquear los scripts enviados en forma de adjuntos.

El análisis mostró que una de las técnicas de autodefensa usadas por el script VBS malicioso es el uso de código basura, que dificulta la ingeniería reversa y la ejecución retardada.

Antes de descargar Cerber, el script verifica si la víctima tiene conexión a Internet. Si la tiene, envía una solicitud por HTTP para obtener un archivo JPEG desde su sitio. “En los encabezados de la solicitud HTTP, establece el valor de rango “bytes=11193-“. Esto indica al servidor web que le entregue sólo el contenido que comience en la dirección de memoria 11,193 del archivo JPG”, explican los expertos. Esta técnica de múltiples etapas para lanzar el ataque de Cerber se parece a las solicitudes de rango HTTP de los troyanos Dridex y Ursnif, indica FireEye.

Otras similitudes entre Cerber y Dridex es que las operaciones de spam suelen estar en inglés y se camuflan como correspondencia legítima sobre facturas no pagadas, imposibilidad de entregar pedidos, etc.

El ejemplar analizado en FireEye tiene especial interés por los documentos de Word, los archivos de Microsoft Outlook y el sitio de juegos Steam. Para obtener acceso a los archivos abiertos en el equipo, el malware finalizaba todos los procesos relacionados con sus correspondientes programas. Merece la pena destacar que en el archivo de configuración de Cerber también estaba prevista la instalación de un módulo para enviar spam, pero todo parece indicar que esta función no ha salido de la etapa de pruebas.

El ransomware Cerber toma impulso con botnets Dridex

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada