por Los investigadores de seguridad han visto una campaña en curso de malspam utilizando correos electrónicos disfrazados de mensajes de amantes secretos para entregar cargas útiles de Nemty Ransomware en las computadoras de posibles víctimas.
La campaña de spam fue identificada tanto por Malwarebytes como por investigadores de X-Force IRIS y ayer comenzó a distribuir mensajes maliciosos a través de un flujo constante de correos electrónicos.
Los atacantes usan varias líneas de asunto que insinúan el contenido del correo electrónico enviado por alguien que el destinatario ya conoce y se crean utilizando una plantilla de carta de amor con declaraciones como «No se lo digas a nadie», «Te amo», Carta para ti «,» será nuestro secreto «y» no puedo olvidarte «.
Lo que diferencia a esta campaña de las demás es que los operadores no se molestaron en redactar un correo electrónico atractivo, ya que todos estos mensajes de spam solo contienen un ;)emoticón de texto de guiño .
Esto podría ser una pista de que los atacantes piensan que el cebo de «amante secreto», como lo denominó Malwarebytes , es lo suficientemente eficaz por sí solo.
«Adjunta a cada correo electrónico es un archivo ZIP con un nombre con el formato ‘Love_You _ _ ###### 2020.zip’ con sólo los #s cambiante», investigadores de X-Force IRIS encontraron .
«El hash del archivo contenido en cada uno de estos archivos sigue siendo el mismo y está asociado con un archivo JavaScript altamente ofuscado llamado LOVE_YOU.js».
Este archivo JavaScript malicioso tiene una tasa de detección de VirusTotal muy baja en este momento, lo que puede conducir a un mayor número de infecciones hasta que otras soluciones de seguridad lo agreguen a sus definiciones.
Los atacantes lo usan para colocar un ejecutable de ransomware Nemty en las computadoras de las víctimas cuando se ejecutan descargando la carga maliciosa de un servidor remoto y ejecutándola.
«Se identificó que el ejecutable descargado era el ransomware Nemty y realiza el cifrado de los archivos del sistema tras la ejecución, dejando una nota de rescate que exige el pago a cambio de la clave de descifrado», descubrieron los investigadores.
El ransomware Nemty se detectó por primera vez en agosto de 2019 y es conocido por eliminar las instantáneas de todos los archivos que encripta, lo que hace imposible que las víctimas que no tienen copias de seguridad separadas recuperen sus datos.
Los investigadores descubrieron un mes después que los desarrolladores del malware lo actualizaron para incluir código para eliminar los servicios y procesos de Windows para permitirle encriptar los archivos que están actualmente en uso.
La firma de seguridad Tesorion creó un descifrador de ransomware Nemty gratuito en octubre de 2019 para las versiones 1.4 y 1.6 de Nemty, y trabaja para un número limitado de tipos de documentos, incluidas imágenes, videos, documentos de oficina y archivos.
El mes pasado, los operadores detrás del ransomware Nemty dijeron que están planeando crear un blog de fugas que se utilizará para publicar información robada para las víctimas del ransomware que se negaron a pagar los rescates.
Maze Ransomware comenzó esta tendencia en noviembre de 2019, con Sodinokibi, BitPyLock y Nemty siguiendo sus pasos y diciendo que adoptarán la misma táctica ( 1 , 2 , 3 ).
Acerca del Autor
Administrador de la pagina
