Nueva variante del TorrentLocker

Continúan los ataques de ransomware. Recientemente ha aparecido una nueva variante del TorrentLocker que utiliza un link de Dropbox para propagarse, tal y como se explica en la siguiente noticia, publicada en la revista digital IT Reseller.

Noticia
Fuente: Revista digital IT Reseller, artículo publicado el 23 de marzo de 2017.

Trend Micro ha detectado nuevas variantes de los ataques de ransomware que comienzan con un e-mail que simula una factura enviada por un distribuidor de la organización donde trabaja la víctima, a la que se accede a través de un link de Dropbox. La mayoría de los ataques afectan a organizaciones europeas.

En sus predicciones para 2017, Trend Micro auguró que el ransomware seguiría evolucionando más allá de los vectores de ataque convencionales. Pues bien, la compañía acaba de informar de la reaparición del ransomware de TorrentLocker, cuyas nuevas variantes están recurriendo como método de propagación a un mecanismo que explota y abusa de las cuentas de Dropbox. Estas mantienen el mismo modus operandi que el ransomware original, aunque los cambios más significativos se dan en su nuevo método de distribución y en la manera en el que el propio malware está comprimido.

Método de infección

El ataque de TorrentLocker comienza con un correo electrónico que simula una factura enviada por un distribuidor de la organización donde trabaja la víctima. La factura no se envía de forma adjunta, sino que se accede a ella a través de un link de Dropbox que contiene un texto haciendo referencia a facturas o números de cuenta para parecer auténtico.

El uso del Dropbox mediante un link de una URL permite a TorrentLocker traspasar los sensores del gateway, ya que el link proviene aparentemente de una página web legítima.

Una vez que el usuario pincha en el link, se descarga un archivo JavaScript que es una factura falsa, que al abrirse descarga otro archivo JavaScript en la memoria, al que seguirá la consiguiente descarga y ejecución de la carga útil de TorrentLocker en el sistema. El patrón de comportamiento que siguen las nuevas variantes TorrentLocker es que están comprimidas en instaladores NSIS para impedir su detección, una técnica que también es utilizada por otros ransomware, como Cerber.

Los autores del ransomware lanzaron el mayor número de ataques en los días laborables, especialmente en la franja horaria de entre las 9:00 y las 10:00 de la mañana, que es cuando los empleados generalmente comprueban sus emails. El equipo de Trend Micro ha informado a Dropbox, cuyo equipo de seguridad asegura que todos los archivos descubiertos han sido eliminados y sus respectivos usuarios prohibidos.