(https://i.imgur.com/RE7VGgj.png)
Se ha observado que una variante de una cepa de ransomware conocida como DJVU se distribuye en forma de software crackeado.
"Si bien este patrón de ataque no es nuevo, se han observado incidentes que involucran una variante de DJVU que agrega la extensión .xaro a los archivos afectados y exige un rescate por un descifrador que infecta los sistemas junto con una gran cantidad de cargadores de productos básicos y ladrones de información", dijo el investigador de seguridad de Cybereason, Ralph Villanueva.
La nueva variante ha sido bautizada como Xaro por la firma estadounidense de ciberseguridad.
DJVU, en sí mismo una variante del ransomware STOP, suele aparecer en escena haciéndose pasar por servicios o aplicaciones legítimos. También se entrega como una carga útil de SmokeLoader.
Un aspecto importante de los ataques DJVU es el despliegue de malware adicional, como ladrones de información (por ejemplo, RedLine Stealer y Vidar), lo que los hace más dañinos por naturaleza.
En la última cadena de ataque documentada por Cybereason, Xaro se propaga como un archivo comprimido de una fuente dudosa que se hace pasar por un sitio que ofrece software gratuito legítimo.
Abrir el archivo comprimido conduce a la ejecución de un supuesto binario de instalación para un software de escritura de PDF llamado CutePDF que, en realidad, es un servicio de descarga de malware de pago por instalación conocido como PrivateLoader.
PrivateLoader, por su parte, establece contacto con un servidor de comando y control (C2) para obtener una amplia gama de familias de malware de robo y cargador como RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig y Fabookie, además de eliminar Xaro.
"Este enfoque de escopeta para la descarga y ejecución de malware básico se observa comúnmente en las infecciones de PrivateLoader que se originan en sitios sospechosos de software gratuito o crackeado", explicó Villanueva.
El objetivo parece ser recopilar y exfiltrar información confidencial para una doble extorsión, así como garantizar el éxito del ataque, incluso si una de las cargas útiles es bloqueada por el software de seguridad.
Xaro, además de generar una instancia del ladrón de información Vidar, es capaz de cifrar archivos en el host infectado, antes de dejar caer una nota de rescate, instando a la víctima a ponerse en contacto con el actor de amenazas para pagar $ 980 por la clave privada y la herramienta de descifrado, un precio que se reduce en un 50% a $ 490 si se aborda dentro de las 72 horas.
En todo caso, la actividad ilustra los riesgos que conlleva la descarga de software gratuito de fuentes no confiables. El mes pasado, Sucuri detalló otra campaña llamada FakeUpdateRU en la que los visitantes de sitios web comprometidos reciben avisos falsos de actualización del navegador para entregar RedLine Stealer.
"Se sabe que los actores de amenazas favorecen el software gratuito disfrazado como una forma de implementar código malicioso de forma encubierta", dijo Villanueva. "La velocidad y la amplitud del impacto en las máquinas infectadas deben ser comprendidas cuidadosamente por las redes empresariales que buscan defenderse a sí mismas y a sus datos".
Fuente: https://thehackernews.com