El grupo detrás del ransomware Cerber ha puesto en marcha una campaña de spam que utiliza informes de tarjetas de crédito falsas para engañar a los usuarios para que abra un archivo de Word que en ciertas circunstancias se descarga e instala el ransomware Cerber mortal.
Detectado por el personal del Centro de protección contra malware de Microsoft, los mensajes de correo electrónico en esta campaña de spam pretenden estar pendiente de los pagos por tarjetas de crédito MasterCard.
El diseño inteligente del correo electrónico juega con el miedo de todos a ser facturado por artículos que no han comprado.
El correo electrónico utiliza un sentido de urgencia para engañar a las víctimas para que abra un documento de Word protegido por contraseña que contiene instrucciones sobre cómo cancelar esta operación. El uso de archivos protegidos con contraseña se debe a que la mayoría de los bancos envían a los clientes archivos protegidos con contraseña, sino también porque los sistemas de análisis de correo electrónico y productos anti-malware no se puede abrir para escanear el adjunto del correo electrónico.
El archivo de Word utiliza secuencias de comandos de macro y PowerShell para instalar la última versión Cerber
El archivo de Word que viene con estos mensajes de correo electrónico contiene una secuencia de comandos de macro adjunta, que si el usuario permite ejecutar, infectará al usuario con el ransomware Cerber.
Cuando los usuarios abren el documento de Word, se ve las instrucciones hechas para parecerse a una página de soporte técnico Microsoft, que indica al usuario para permitir la edición, lo que permite que la secuencia de comandos para ejecutar la macro.
Mientras que la mayoría de los usuarios expertos en tecnología saben que se mantenga alejado de los archivos de Word con las secuencias de comandos de macro, cuando la mayoría de los usuarios ven un mensaje como el de arriba, por lo general, tienden a seguir las instrucciones incrustadas.
Una vez que los usuarios permiten que la secuencia de comandos para ejecutar la macro, se acabó el juego, ya que en cuestión de segundos, la macro se ejecuta un script de PowerShell que descarga e instala el ransomware Cerber, que inmediatamente comienza a cifrar los archivos del usuario.
De acuerdo con el investigador de seguridad @MalwareHunterTeam, esta es la versión más reciente del ransomware Cerber, actualmente indescifrable.
De acuerdo con Proofpoint, la actividad que rodea a los NewPOSthings y ZeusPOS familias de malware que se dirigen a los terminales de punto de venta ha cuadruplicado durante las vacaciones de Acción de Gracias, y los posteriores acontecimientos del Viernes Negro.
Fecha actualización el 2016-12-14. Fecha publicación el 2016-12-14. Categoría: Malware. Autor: Oscar olg Mapa del sitio