El sitio falso de PayPal extiende el ransomware Nemty

Una página web que pretende ofrecer una aplicación oficial de PayPal está difundiendo una nueva variante de ransomware Nemty a usuarios desprevenidos.

Parece que los operadores de este malware de cifrado de archivos están probando varios canales de distribución como se observó recientemente como una carga útil del kit de explotación RIG (EK).

Atraer con recompensas de reembolso

La última aparición de Nemty se observó en una página falsa de PayPal que promete devolver un 3-5% de las compras realizadas a través del sistema de pago.

Varias pistas apuntan a la naturaleza fraudulenta de la página, que también es marcada como peligrosa por los principales navegadores, pero los usuarios aún pueden caer en el truco y proceder a descargar y ejecutar el malware, que convenientemente se llama 'cashback.exe'.

El investigador de seguridad nao_sec  encontró el nuevo canal de distribución de Nemty y usó el entorno de  prueba AnyRun para implementar el malware y seguir su actividad en un sistema infectado.



El análisis automatizado mostró que el ransomware tardó unos siete minutos en cifrar los archivos en el host víctima. Sin embargo, esto puede diferir de un sistema a otro.

Afortunadamente, el ejecutable malicioso es detectado por los productos antivirus más populares en el mercado. Un análisis en VirusTotal  muestra que 36 de los 68 antivirus lo detectan.

Ataque homoglifo
A primera vista, la página web parece genuina ya que los ciberdelincuentes usaron imágenes y la estructura presente en la página original.

Para agregar al engaño, los ciberdelincuentes también usan lo que se conoce como falsificación de nombres de dominio homográficos para enlaces a varias secciones del sitio (Ayuda y contacto, Tarifas, Seguridad, Aplicaciones y Tienda).

Los ladrones lograron esto al usar en el nombre de dominio caracteres Unicode de diferentes alfabetos. Para distinguirlos, los navegadores los traducen automáticamente a Punycode . En este caso, lo que en Unicode se parece a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta se traduce como 'xn--ayal-f6dc.com' en Punycode.

El investigador de seguridad Vitali Kremez, al analizar esta variante del ransomware Nemty, señaló que ahora está en la versión 1.4, que viene con pequeñas correcciones de errores.

Una cosa que observó el investigador es que la verificación "isRU", que verifica si la computadora infectada está en Rusia, Bielorrusia, Kazajstán, Tayikistán o Ucrania, ha sido modificada. En la última versión, si el resultado de la verificación es positivo, el malware no se mueve con la función de cifrado de archivos, dijo el investigador a BleepingComputer.



Sin embargo, las computadoras fuera de estos países son un objetivo y tendrán sus archivos encriptados y sus instantáneas eliminadas.

Nemty ransomware ha estado presente en foros cibercriminales durante algún tiempo, pero surgió en el radar de la comunidad infosec a fines de agosto, cuando el investigador de seguridad Vitali Kremez publicó detalles de su análisis. El experto notó en los mensajes de código y las referencias que hicieron que el malware se destacara.

Las pruebas de BleepingComputer mostraron que la demanda de rescate fue de 0.09981 BTC, que es de aproximadamente $ 1,000, y que el portal de pago está alojado en la red Tor por anonimato.

A fines de agosto, otro investigador de seguridad,  Mol69 , vio que Nemty se distribuía a través de RIG EK , lo que probablemente sea una elección extraña teniendo en cuenta que los kits de exploits están al borde de la extinción, ya que apuntan a productos que están en su lecho de muerte: Internet Explorer, Reproductor Flash.

Según Yelisey Boguslavskiy, de Inteligencia Avanzada, Nemty fue recibido con "con extremo escepticismo y agresión" en un foro cibercriminal, lo cual es normal en esa comunidad. Esto también puede influir en su éxito, que no es nada en comparación con lo  que disfruta actualmente el ransomware Sodinokibi .

Actualización [08/09/2019, 18:00 EST] : Artículo actualizado con nueva información del investigador de seguridad Vitali Kremez.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta