comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Las modas vuelven: ransomware en archivos PIF

  • 2 Respuestas
  • 1461 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Gabriela

  • *
  • Co Admin
  • Mensajes: 874
  • Actividad:
    15%
  • Reputación 15
    • Ver Perfil
    • Email
« en: Septiembre 03, 2015, 10:57:35 pm »

Últimamente hemos visto en el Laboratorio de Investigación de ESET Latinoamérica la aparición de archivos maliciosos en formato PIF. Este tipo de archivos fue ideado para la ejecución de programas de 16 bits o anteriores, por lo que llama la atención su reaparición. Además, el hecho de que estos archivos están siendo utilizados en conjunto con amenazas de tipo ransomware, actualmente muy activas, nos brinda una razón para analizarlos a fondo.

El formato de archivo PIF (Program Information File) existe para poder ejecutar aplicaciones de DOS en entornos multitarea actuales, de tal modo de no desperdiciar recursos, ya que este tipo de programas utilizaría todos los recursos disponibles de no especificar lo contrario. Así, el formato PIF define aspectos como el máximo y mínimo de memoria a utilizar, o las propiedades de la ventana, entre otras cosas.

En los últimos días hemos visto, sin embargo, la utilización de los archivos PIF por los cibercriminales de una forma más sencilla: al renombrar un ejecutable “.EXE” como “.PIF”, éste continúa siendo ejecutable, logrando engañar a los usuarios desprevenidos. Aún cuando está desactivada la opción de “ocultar las extensiones de archivo para tipos de archivos conocidos”, para los archivos PIF la extensión no se muestra:



Como se observa en la imagen, el archivo que figura como “Documento.doc” es en realidad “Documento.doc.pif”, un archivo PIF. Si se presta atención a la columna de “Tipo”, veremos que no se trata de un archivo DOC, pero hay que tener en cuenta que, en el escritorio, por ejemplo, esto puede ser más difícil de ver. Si luego abrimos el archivo como texto plano, veremos el encabezado “MZ” característico de los ejecutables.
En el pasado ya se ha visto el uso de estos archivos con fines maliciosos, cuyo ejemplo más notable quizás sea el gusano Fable. Sin embargo esta amenaza resurge, 10 años después, atada a un delito actual: el ransomware.

¿Qué sucede si el usuario ejecuta el PIF malicioso?

Éste extrae otro PIF y lo prepara para que sea ejecutado cada vez que se inicia el sistema. Sabemos que el ransomware no busca ocultarse una vez que ha afectado a su víctima y, de hecho, la amenaza analizada es bastante ruidosa, ya que cierra todos los programas en ejecución y reinicia el sistema.

Luego del reinicio, los archivos están cifrados y hay un nuevo cartel de bienvenida (que no tiene nada de buena) en el escritorio:



El mensaje está en ruso:

"Tus archivos están cifrados, si deseas recuperarlos, envía 1 archivo cifrado a la dirección que se indica… ¡ATENCIÓN! ¡Tienes una semana para escribirme, fecha después de la cual el cifrado ya no será posible!
Nuevamente vemos cómo ciertas amenazas creadas en Rusia se propagan y alojan en servidores e infraestructuras vulneradas en Latinoamérica. El segundo PIF instalado en el sistema es el que lleva a cabo la operación de cifrado, con algunas otras características como técnicas de anti-debugging o la inyección de procesos en memoria."




SHA-1 de la muestra analizada:
f057d59f2c11ba838e62630bd44ca700df0ee13d – rada-oplata.pif

Fuente:welivesecurity.com

El ransomware es quizá de las infecciones maliciosas más cabronas, más cuando no se respaldan datos con frecuencia.
Estad atentos!

« Última modificación: Octubre 31, 2017, 10:54:57 pm por Gabriela »

Desconectado Stiuvert

  • *
  • Colaborador
  • *
  • Mensajes: 2667
  • Actividad:
    0%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« Respuesta #1 en: Septiembre 04, 2015, 04:37:29 am »
Muy buena información!

En mi trabajo se infectaron con un malware parecido que encriptataba los archivos y pedía una suma de dinero importante para poder desencriptarlos. Hay que tener mucho cuidado porque se están viendo amenudo estas amenazas para  no solo vender tu información sino que encima te piden un cantidad importante de dinero si quieres recuperar tus archivos.


Un saludo

Desconectado 79137913

  • *
  • Co Admin
  • Mensajes: 631
  • Actividad:
    6.67%
  • Reputación 11
  • 4 Esquinas
    • Ver Perfil
    • Doors.Party
    • Email
  • Skype: fg_mdq@hotmail.com
« Respuesta #2 en: Septiembre 04, 2015, 08:28:33 am »
HOLA!!!

...

Osea que con .PIF windows ejecuta como exe32 o 64? eso es genial.

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scout Team*                                                   No tienes permisos para ver links. Registrate o Entra con tu cuenta

 

¿Te gustó el post? COMPARTILO!



Archivos PDF y protectores de pantalla roban credenciales de Facebook.

Iniciado por morodog

Respuestas: 0
Vistas: 2247
Último mensaje Enero 26, 2016, 01:06:16 pm
por morodog
USBDumper [Roba todos los archivos de USB Ajenos]

Iniciado por xxneeco83xx

Respuestas: 7
Vistas: 5001
Último mensaje Marzo 30, 2018, 06:31:46 pm
por ANTRAX
Batch Compiler [Convierte tus archivos Bat a Exe][OpenSC]

Iniciado por xxneeco83xx

Respuestas: 2
Vistas: 1960
Último mensaje Agosto 11, 2015, 06:21:19 pm
por xxneeco83xx
Ver las cabeceras de archivos con extensión desconocida

Iniciado por Gabriela

Respuestas: 0
Vistas: 1256
Último mensaje Octubre 06, 2015, 12:25:26 pm
por Gabriela
Vaultimore Crypter 1.1 # Especie de "Ransomware"

Iniciado por JoxM

Respuestas: 2
Vistas: 673
Último mensaje Agosto 28, 2018, 08:13:09 am
por JoxM