El malware extorsionista Matrix se propaga a través de accesos directos maliciosos

El extorsionista Matrix , que había desaparecido por algún tiempo, fue visto otra vez en una campaña reciente de Eitest. Brad Duncan, investigador de Palo Alto, se topó con un caso de distribución del malware a través del paquete de exploits RIG, aunque anteriormente Matrix no podía compararse en velocidad y dimensiones de propagación con extorsionistas como Cerber y Spora. Esto atrajo la atención del experto, que al estudiar la muestra más de cerca descubrió que puede propagarse por sí misma.

El nuevo Matrix puede infectar a otros equipos mediante accesos directos maliciosos, y también enviar información sobre los tipos de archivos cifrados al servidor que administra el ataque.

El malware se distribuye a través de sitios contaminados por el script EITest. Una vez que el iframe de RIG se carga en el equipo, el paquete de exploits intenta aprovechar los programas vulnerables para instalar Matrix.

Para propagarse a otros equipos de la red, Matrix oculta su carpeta durante el cifrado de archivos y crea un acceso directo con el mismo nombre y, a continuación, copia el archivo ejecutable del malware y lo guarda como desktop.ini en la carpeta original, que ya está oculta.

Por ejemplo, el malware puede ocultar la carpeta “Documentos” y crear un acceso directo con el mismo nombre. El usuario lo abre y guarda algunos archivos en él, sin sospechar nada porque todo está funcionando como de costumbre. Mientras tanto, Matrix copia el archivo desktop.ini, que en realidad es el archivo ejecutable del extorsionador, en la carpeta %Temp%\OSw4Ptym.exe, y luego lo ejecuta. De esta manera, el malware puede penetrar en otros ordenadores a través de redes y unidades extraíbles.

Los investigadores también señalan que Matrix se actualiza regularmente y las características de cada nueva versión son diferentes, por ejemplo las extensiones de los archivos cifrados, direcciones de correo electrónico de contacto, o el texto de notas de rescate. Los expertos suponen que Matrix seguirá cambiando.

Matrix se conecta muy a menudo con el servidor de comando para enviar informes sobre el avance del proceso de cifrado. Al igual que Spora, este malware envía al servidor estadísticas sobre los tipos de archivos cifrados y tiene diferentes requisitos para la suma del rescate, que depende de los tipos de archivos cifrados.

Además, Matrix elimina las instantáneas de las copias de seguridad para evitar que se puedan revertir los cambios y restaurar el estado del sistema anterior a la infección.

En el mensaje de texto que se muestra en la pantalla al finalizar el cifrado, los atacantes amenazan con aumentar la suma del rescate en 100 dólares cada 12 horas si no se lo paga en el plazo indicado. Los delincuentes le dan a la víctima 96 horas, pasadas las cuales amenazan con borrar los archivos para siempre.

Fuentes: Threatpost