Las modas vuelven: ransomware en archivos PIF

Iniciado por Gabriela, Septiembre 03, 2015, 10:57:35 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Septiembre 03, 2015, 10:57:35 PM Ultima modificación: Octubre 31, 2017, 10:54:57 PM por Gabriela

Últimamente hemos visto en el Laboratorio de Investigación de ESET Latinoamérica la aparición de archivos maliciosos en formato PIF. Este tipo de archivos fue ideado para la ejecución de programas de 16 bits o anteriores, por lo que llama la atención su reaparición. Además, el hecho de que estos archivos están siendo utilizados en conjunto con amenazas de tipo ransomware, actualmente muy activas, nos brinda una razón para analizarlos a fondo.

El formato de archivo PIF (Program Information File) existe para poder ejecutar aplicaciones de DOS en entornos multitarea actuales, de tal modo de no desperdiciar recursos, ya que este tipo de programas utilizaría todos los recursos disponibles de no especificar lo contrario. Así, el formato PIF define aspectos como el máximo y mínimo de memoria a utilizar, o las propiedades de la ventana, entre otras cosas.

En los últimos días hemos visto, sin embargo, la utilización de los archivos PIF por los cibercriminales de una forma más sencilla: al renombrar un ejecutable ".EXE" como ".PIF", éste continúa siendo ejecutable, logrando engañar a los usuarios desprevenidos. Aún cuando está desactivada la opción de "ocultar las extensiones de archivo para tipos de archivos conocidos", para los archivos PIF la extensión no se muestra:



Como se observa en la imagen, el archivo que figura como "Documento.doc" es en realidad "Documento.doc.pif", un archivo PIF. Si se presta atención a la columna de "Tipo", veremos que no se trata de un archivo DOC, pero hay que tener en cuenta que, en el escritorio, por ejemplo, esto puede ser más difícil de ver. Si luego abrimos el archivo como texto plano, veremos el encabezado "MZ" característico de los ejecutables.
En el pasado ya se ha visto el uso de estos archivos con fines maliciosos, cuyo ejemplo más notable quizás sea el gusano Fable. Sin embargo esta amenaza resurge, 10 años después, atada a un delito actual: el ransomware.

¿Qué sucede si el usuario ejecuta el PIF malicioso?

Éste extrae otro PIF y lo prepara para que sea ejecutado cada vez que se inicia el sistema. Sabemos que el ransomware no busca ocultarse una vez que ha afectado a su víctima y, de hecho, la amenaza analizada es bastante ruidosa, ya que cierra todos los programas en ejecución y reinicia el sistema.

Luego del reinicio, los archivos están cifrados y hay un nuevo cartel de bienvenida (que no tiene nada de buena) en el escritorio:



El mensaje está en ruso:

"Tus archivos están cifrados, si deseas recuperarlos, envía 1 archivo cifrado a la dirección que se indica... ¡ATENCIÓN! ¡Tienes una semana para escribirme, fecha después de la cual el cifrado ya no será posible!
Nuevamente vemos cómo ciertas amenazas creadas en Rusia se propagan y alojan en servidores e infraestructuras vulneradas en Latinoamérica. El segundo PIF instalado en el sistema es el que lleva a cabo la operación de cifrado, con algunas otras características como técnicas de anti-debugging o la inyección de procesos en memoria."




SHA-1 de la muestra analizada:
f057d59f2c11ba838e62630bd44ca700df0ee13d – rada-oplata.pif

Fuente:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El ransomware es quizá de las infecciones maliciosas más cabronas, más cuando no se respaldan datos con frecuencia.
Estad atentos!

Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.

Muy buena información!

En mi trabajo se infectaron con un malware parecido que encriptataba los archivos y pedía una suma de dinero importante para poder desencriptarlos. Hay que tener mucho cuidado porque se están viendo amenudo estas amenazas para  no solo vender tu información sino que encima te piden un cantidad importante de dinero si quieres recuperar tus archivos.


Un saludo

HOLA!!!

...

Osea que con .PIF windows ejecuta como exe32 o 64? eso es genial.

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scouts Team*                                                No tienes permitido ver los links. Registrarse o Entrar a mi cuenta