Utilizan documentos Word y Excel falsos para distribuir malware

Descargar archivos de Internet es una acción que hay que realizar con cierta prudencia. Los ciberdelincuentes se aprovechan del desconocimiento y confianza ciega que muestran los usuarios para distribuir malware. Podría decirse que esto es lo que está sucediendo en la actualidad. Se están valiendo de documentos Word y Excel falsos para que los usuarios descarguen un nuevo ransomware.

Aunque no se trata de una amenaza nueva, sí es cierto que se trata de una evolución de CryptoMix. Ha tenido bastante protagonismo en los últimos meses y parece bastante evidente que la publicación de variantes es una forma que posee los ciberdelincuentes para alargar la vida de esta amenaza informática. Mole es el nombre de la amenaza que nos ocupa.

Tal y como hemos comentado al comienzo, los ciberdelincuentes están utilizando documentos falsos de Word y Excel para distribuir la amenaza. O lo que es lo mismo, el usuario cree que está descargando un .docx o .xls. Sin embargo, el archivo final posee una extensión .exe. Es decir, el instalador del ransomware que hemos citado con anterioridad.

Es necesario mencionar que además de esta forma de distribución también están recurriendo a complementos falsos para la suite ofimática de Microsoft. Expertos en seguridad se han topado en repetidas ocasiones con plugin-office.exe. Como se puede imaginar, no se trata del instalador de un complemento.

Servicios a través de los que se distribuye la amenaza

Hemos precisado al principio del artículo que se están valiendo sobre todo de páginas web. Sin embargo, es cierto que no podemos dejar escapar la oportunidad para indicar que los ciberdelincuentes también están utilizando cuentas de correo electrónico que se han visto comprometidas para difundir mensajes que poseen como adjunto el instalador la amenaza, pero siempre haciendo mención a documentos de la suite de ofimática de los de Redmond o instaladores de complementos.

Funcionamiento de Mole

Cuando el usuario realiza la apertura del archivo aparece a simple vista un mensaje de error con un texto genérico. En este mensaje el usuario solo posee la opción “OK”. En realidad, se trata de un mensaje de UAC enmascarado. Pulsando en el único botón existente el usuario otorga al instalador permisos de administrador.

Esto desencadenará la ejecución del archivo C:\Windows\SysWOW64\wbem\WMIC.exeEste hará uso del archivo que anteriormente se ha descargado el usuario.

Posteriormente, el usuario visualizará un mensaje de UAC para otorgar permisos de cambios en el equipo al ejecutable citado con anterioridad. En la mayoría de los casos el usuario no se lo pensará dos veces y pulsará en la opción “Sí”.

Pulsado este botón, el ransomware comenzará con su actividad con privilegios de administrador.

Consecuencias para el usuario y su equipo

Aunque no lo hemos mencionado aún, indicar que esta amenaza afecta a equipos Windows con versión 7 o superiores.

Una vez ejecutado, en primer lugar genera un ID que identificará al equipo infectado, enviado al servidor de control remoto de forma instantánea. Una vez hecho esto, comienza el cifrado de los archivos existentes en el equipo utilizando el algoritmo RSA de 1024 bits.

La clave se almacenará en la siguiente dirección: %UserProfile%\AppData\Roaming\26E14BA00B70A5D0AE4EBAD33D3416B0.MOLE

Si tienes copias de seguridad en el equipo no servirán de nada

El problema de esta amenaza es que no solo limita la actividad al cifrado de los archivos. Posteriormente se centrará en desactivar procesos del sistema relacionados con mecanismos de seguridad, haciendo gala de los permisos de administrador de los que disfruta.

Una vez hecho esto pasará a centrarse sobre todo en detectar copias de seguridad y puntos de restauración y proceder a su eliminación y cifrado, haciendo inútil cualquier intento por parte del usuario de recuperar el acceso a la información. Muchos expertos en seguridad, a la vista de las consecuencias recomiendan realizar una instalación limpia del equipo Windows.



Via: www.redeszone.net
Utilizan documentos Word y Excel falsos para distribuir malware Utilizan documentos Word y Excel falsos para distribuir malware Reviewed by Zion3R on 11:11 Rating: 5