Cryptowall regresa empleando archivos de ayuda de Windows (CHM)

0
Retorno de Cryptowall

Retorno de Cryptowall (imagen por ShutterStock)

 

Se ha detectado una nueva ola de spam que en estos momentos ya ha alcanzado a miles de buzones de email. Dicho mensajes incluyen un archivo (o varios) adjunto con formato CHM para después infectarnos con el temido malware Cryptowall.

Si algo funciona, no lo toques

Los laboratorios Bitdefender han realizado un estudio de la amenaza y han sacado una conclusión interesante. Los hackers han decidido emplear una táctica no demasiado sofisticada pero altamente efectiva para engañar a las víctimas, y son los citados archivos .chm.

Archivos con extensión CHM

Se trata de una extensión empleada en el formato HTML compilado, un tipo de archivo utilizado para desarrollar manuales en aplicaciones de software. Los documentos de tipo HTML son comprimidos y entregados en un fichero binario con la extensión .CHM. 

Dicho formato está formado por documentos HTML comprimidos, imágenes y código Javascript, junto a tablas de contenidos conectadas mediante URLs, un index y búsquedas de texto.

Retorno de Cryptowall

¿Tan peligroso puede ser un archivo de ayuda?

Resulta que los archivos CHM son altamente interactivos y capaces de ejecutar líneas de código Javascript, lo que podría redirigir al usuario hacia una dirección web externa con tan solo abrir uno de estos documentos. 

Lo que han hecho los atacantes es programar estos archivos para que descarguen una carga maliciosa inmediatamente después de ser ejecutados. Consiguen que con una interacción de usuario casi inexistente se realice la infección. Hackers 1 – Usuario 0.

El anzuelo

El señuelo que los atacantes colocan es un supuesto informe de envío de fax que aparece como procedente del mismo dominio al que pertenece el usuario. Esto consigue engañar a no pocos empleados, pensando que no se trata de una infección. Cuando se den cuenta ya será demasiado tarde.

Cryptowall infecta ahora mediante archivos CHM

Una vez que el contenido del archivo .CHM es abierto, el código malicioso es descargado desde:

locationhttp://*********/putty.exe

Se guardará con el siguiente nombre y en la ubicación:

%temp%\natmasla2.exe

Luego se ejecutará. Si somos testigos del proceso veremos como se abre una ventana de CMD (Símbolo de sistema) mientras esto ocurre.

Cryptowall

Conociendo a Cryptowall

Cryptowall es una evolución del conocido Cryptolocler, un ransomware que cifra los archivos de la víctima para después pedir un rescate por su recuperación. Siempre procura camuflarse (de forma bastante hábil) y hacerse pasar por una aplicación inocua.

Cryptowall es reconocido por Bitdefender Antivirus como Trojan.GenericKD.2170937

El ransomware es el gran quebradero de cabeza de este 2015, como ya fuera el año pasado. Una vez los atacantes se han hecho con el control de nuestros archivos, estaremos a su merced y se nos pedirá dinero para recibir la clave de descifrado privada y única que precisaríamos para recuperarlos.

Evolución del Ransomware en los últimos meses y años

Evolución del Ransomware en los últimos meses y años

 

Este email malicioso fué recibido por las primeras víctimas el pasado 18 de Febrero y alcanzó a unas 200 personas. Los servidores de spam han sido localizados con bastante exactitud en India, Vietnam, Australia, Rumanía y -ojo- España. Tras un análisis de los nombres de dominio utilizados, parece que los atacantes son de diferentes partes del mundo, tanto en EEUU como en varios países de Europa.

¿Hay algo que pueda hacer para evitar la infección con Cryptowall?

Hemos realizado recientemente un conjunto de recomendaciones para prevenir la infección mediante Cryptowall. Encabeza la lista la necesidad de tener nuestros datos “redundados”. Esto es, duplicados, ya sea en un disco externo que no toquemos demasiado o en soluciones en la nube.

Sin embargo, como ya ocurriera con otras amenazas frecuentes, Bitdefender nos ofrece ahora una capa adicional de protección para evitar que este malware modifique nuestros archivos: 

Usando esta capa de protección combinada con nuestro antivirus actualizado y añadiendo algo de sentido común y lectura a la receta, estaremos bien protegidos 😉

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR