Ransomware MirCop ahora con temática de zombies

Una nueva campaña de phishing que pretende ser listas de suministros infecta a los usuarios con el ransomware MirCop que encripta un sistema objetivo en menos de quince minutos.

Los actores comienzan el ataque enviando un correo electrónico no solicitado a la víctima, supuestamente siguiendo un arreglo previo sobre una orden.

El cuerpo del correo electrónico contiene un hipervínculo a una URL de Google Drive que, si se hace clic, descarga un archivo MHT (archivo de página web) en la máquina de la víctima.

Para los actores de amenazas, elecciones simples pero clave como esta pueden distinguir entre que la víctima haga clic en la URL o envíe el correo electrónico a la carpeta de correo no deseado.

Quienes abren el archivo solo pueden ver una imagen borrosa de lo que supuestamente es una lista de proveedores, sellada y firmada para darle un toque extra de legitimidad.


Cuando se abre el archivo MHT, descargará un archivo RAR que contiene un descargador de malware .NET de "hXXps: // a [.] Pomf [.] Cat / gectpe.rar".

El archivo RAR contiene un archivo EXE, que utiliza scripts VBS para colocar y ejecutar la carga útil de MirCop en el sistema infectado.

El ransomware se activa inmediatamente y comienza a tomar capturas de pantalla, bloquea archivos, cambia el fondo a una horrible imagen con temática de zombies y ofrece a las víctimas instrucciones sobre qué hacer a continuación.


Según  Cofense , todo este proceso toma menos de 15 minutos desde que la víctima abre el correo electrónico de phishing.

Después de eso, el usuario solo puede abrir navegadores web específicos para comunicarse con los actores y organizar el pago del rescate.

Los actores no están interesados ​​en colarse en la máquina de la víctima de manera sigilosa o permanecer allí por mucho tiempo para realizar ciberespionaje o robar archivos para extorsión.

Por el contrario, el ataque se desarrolla rápidamente y la fuente del problema se vuelve rápidamente evidente para la víctima.

Una cepa antigua pero peligrosa

MicroCop es una antigua variedad de ransomware que solía entregar demandas de rescate absurdas a sus víctimas.

Eso fue hasta que Michael Gillespie descifró su cifrado y lanzó un descifrador de trabajo de forma gratuita .

No pudimos probar si ese antiguo descifrador funciona con las cargas útiles eliminadas en la campaña más reciente, pero es posible que aún pueda desbloquear los archivos.

Cofense dice que la misma variante ha estado en circulación desde junio de este año, por lo que MicroCop todavía está disponible y las personas deben tener cuidado con el manejo de correos electrónicos no solicitados.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta