INICIO
logo de clasesordenador

BOOBYTRAPPED ARCHIVO DE WORD INSTALA LOCKY RANSOMWARE

El afiliado Locky #5 difunde documentos de Word mezcladas con secuencias de comandos de macro con el ransomware Locky.

Esto no es nada nuevo, ya que es la distribución de malware más frecuente para engañar. Mensajes inteligentes incrustados en el documento de Word, los usuarios se ven atraídos a habilitar las macros dentro del archivo de Word para soportar nuevas características y / o para mostrar el nuevo contenido.

Por lo general, los que permite macros desencadena un script malicioso incrustado en el documento, que finalmente instala malware. La semana del 28 de Agosto, Rivero (investigador de Malwarebytes) vio un documento de Word que se comportó de manera diferente y no se ha ejecuta el script malicioso hasta que el usuario cierra el archivo.

Si bien esto no hace una diferencia para las víctimas, ya que están en problemas desde el momento en que se habilitan las macros dentro de Word, este pequeño truco hace una gran diferencia cuando se trata de los escáneres de seguridad.

"Para fines de análisis, muchas shadows reducen la configuración de seguridad de diversas aplicaciones y permiten que las macros de forma predeterminada, lo que permite la captura automática de la carga maliciosa," Rivero explica la diferencia. "Comprobamos que en su forma actual, los documentos maliciosos son propensos a exhibir un comportamiento inofensivo en muchos entornos limitados mientras que todavía infectar a los usuarios finales que se cerrarían lógicamente el archivo cuando se dan cuenta que no hay nada a la vista."

Falsa campaña de verificación de la cuenta de Dropbox

Otra campaña, esta vez perpetrado por el Locky afiliado #3, utiliza mensajes de correo electrónico haciéndose pasar por solicitudes de verificación de cuenta Dropbox.

La campaña fue descubierto por mi seguridad en línea, SANS ISC, y el CSIS y ataco a los usuarios toda la semana del 21 de agosto.

Esta campaña entrega la última versión ransomware Locky, la que utiliza la extensión .lukitus.

Hoefler Text ventanas emergentes dirigidas a los usuarios de Chrome y Firefox

Otra campaña Locky del mismo afiliado ID #3, el más activo de todas las campañas Locky, también utilizó la ya clásica técnica de ventanas emergentes Hoefler Text.

Esta campaña se basó en publicidad maliciosa y explotar los kits para redirigir el tráfico a páginas maliciosas que mostraron el mensaje "fuente que falta Hoefler Text", incita al usuario para descargar e instalar la fuente (descargado como un archivo de script JS), con el fin de ver el contenido de la página.

Las ventanas emergentes aparecieron a los usuarios de Firefox y los navegadores basados ​​en Chrome solamente. Esta campaña esta activa desde el 31 de agosto, y todavía está en curso, por lo que los usuarios tienen que prestar mucha atención a todos los correos electrónicos de Dropbox que reciben en los próximos días.

Campañas de spam aburridas

Antes de la campaña emergente Hoefler Text, el mismo ID de socio empujó sus correos electrónicos no deseados de ejecución de la fábrica de toda la semana pasada.

Estos eran clásicas campañas de spam utilizando líneas de asunto de correo electrónico que se hicieron pasar por fotos escaneadas, documentos, facturas, pedidos y otros. Los archivos adjuntos con estos correos electrónicos fueron los archivos ZIP que contienen una secuencia de comandos VBS que instaló Locky cuando los usuarios haga doble clic.


Fecha actualización el 2017-9-1. Fecha publicación el . Categoría: Ransomware. Autor: Mapa del sitio Fuente: bleepingcomputer
Locky ransomware