Campaña de spam distribuye el ransomware Zepto una variante de Locky.




. Zepto, supuestamente, una variante del conocido ransomware Locky, fue recientemente descubierto en una campaña de distribución que involucró a más de 100.000 mensajes spam, advierten los investigadores de seguridad de Cisco Talos.


Detectado por primera vez en febrero, Locky necesitó sólo un par de semanas para convertirse en una de las mayores amenazas en el paisaje ransomware, pero necesitó lo que parece varios meses para desovar a su primer sucesor. Esto, sin embargo, no significa que la nueva pieza de malware es menos peligrosa.

Según Warren Mercer, investigador de seguridad de Cisco Talos, la campaña recién fue descubierta el lunes 27 de junio, cuando alrededor de 4.000 mensajes spam fueron capturados por las defensas de la empresa de seguridad. Sin embargo, la campaña se intensificó rápidamente durante el próximo par de días, llegando a un máximo de 137.731 mensajes de correo electrónico en tan sólo 4 días, explicó el investigador.

El malware se distribuye a través de un archivo .zip adjunto, que a su vez lleva un código de JavaScript malicioso, según los investigadores. Una mirada más cercana a la campaña de correo electrónico reveló un total de 3.305 muestras únicas, renombrada cada una en un esquema de [XXX | XXXX] .js. En todos estos mensajes, los delincuentes intentaron atraer a las víctimas mediante el uso de diferentes líneas de asunto y diversos perfiles del remitente, incluyendo 'CEO' o 'VP de ventas'.

El cuerpo del mensaje sugiere que los usuarios deben leer la documentación "solicitada", y también se incluye saludos de correo-adjuntos. A lo largo del ataque, los cuerpos del correo electrónico y sus mensajes en el asunto cambió ligeramente, señaló el investigador.

Tan pronto como la víctima abria el archivo adjunto, el código JavaScript malicioso se ejecutaba. Aprovechando wscript.exe para lanzar peticiones HTTP GET a una serie de comandos predefinidos por el servidor de comando y control de los dominios (C & C), los investigadores de seguridad de Cisco Talos se dieron cuenta que algunas de las muestras iniciaban la conectividad a un solo dominio, mientras que otros se comunicaban con hasta 9 dominios.

Una vez ejecutado, el binario malicioso descargado comienza la encriptación de los archivos locales en segundo plano, agregando la extensión .zepto a ellos, y luego muestra una nota de rescate exigiendo a los usuarios pagar para recuperar el acceso a sus archivos. La nota de rescate se visualiza tanto como un archivo HTML o como una imagen, el fondo de pantalla del ordenador también cambia para mostrar la nota, como se puede ver en el vídeo incrustado abajo.

Aunque el vector de ataque utilizado por Zepto no es nuevo, está claro que es uno de los más utilizados en las campañas ransomware, afirmaron los investigadores. El aspecto más importante de la campaña recién observada, sin embargo, es el hecho de que el nuevo programa malicioso tiene estrechas conexiones con Locky: ya que ambos se distribuyen a través de archivos JS maliciosos, encriptan el mismo tipo de archivos, y tienen notas de rescate similares.

"El ataque mediante correo electrónico seguirá siendo utilizado ya que es un hecho cotidiano y ahora tienen la capacidad de generar grandes listas de correos electrónicos para campañas spam de este tipo. La obtención de los correos se obtiene debido a que los correos electrónicos se venden de forma activa entre los delincuentes para este tipo de campaña. Los usuarios deben tener cuidado con los archivos adjuntos de correo electrónico, como los utilizados en esta campaña, ya que es un intento para anular los efectos de esta y otras campañas spam ", concluye Mercer.

Desde febrero, Locky se ha convertido en la mayor amenaza ransomware, cortesía a carreras masivas de spam alimentadas por la red bots de Necurs . Las campañas de distribución también fueron impulsados por el kit exploit Nuclear que se utilizó para servir 110.000 droppers para Locky . Los investigadores estiman que, si todos los droppers tuvieran éxito y la mitad de las víctimas pagaran, los cibercriminales podrían haber hecho tanto como $ 12.650.000 en estas campañas.


El ransomware Locky, que supuestamente está operado por el mismo grupo que está detrás del caballo de troya Dridex, ha sido testigo de numerosos cambios en el último par de meses ya que sus autores intentaron mejorar sus técnicas de evasión.