Una nueva estrategia está siendo explorada por los hackers: disparar a dos pájaros de un tiro. Déjenos explicarle: los especialistas han notado que un email malicioso puede distribuir no una, sino varias infecciones. Microsoft ha revelado haber descubierto que el ransomware Locky y el malware de fraude publicitario Kovter están colaborando de la peor manera posible: su distribución se ha combinado. Esta no es sólo una asociación entre infecciones de malware, y Locky parece estar fuertemente relacionado con el cripto virus Sage. Estos dos gigantes de ransomware son comparables por su estructura similar. La actividad de Locky ha sido identificada como significativamente reducida en estos últimos meses, pero quizás los hackers simplemente están ocupados con nuevas variantes y han dejado Locky como una infección secundaria a distribuir. Incluso aunque sugiramos que Locky ya no existe, no debe olvidar su nombre, no podemos permitirnos hacer ese tipo de declaraciones.
De hecho, Locky ha sido detectado explorando un nuevo método para su distribución. Los investigadores de Microsoft descubrieron que una nueva campaña de spam eligió distribuir Locky y Kovter al mismo tiempo. La campaña envía un archivo .Ink que puede redirigir a la gente a ambas infecciones. El adjunto malicioso en realidad funciona como un acceso directo a otro ejecutable y contiene un script Power Shell. Para asegurarse de que la gente ejecute el adjunto, el archivo .Ink se presentará como un archivo .zip que es mucho más reconocible y fiable para los usuarios de Internet. Al descargar el archivo recibido, está permitiendo que el script Power Shell se ejecute. Como esta campaña de spam elegirá distribuir Locky y Kovter como un par, presumiblemente estará amenazado por ambos al mismo tiempo. Como ya sabrá, Locky encriptará sus archivos y Kovter se centra más en el fraude publicitario.
Microsoft explica que los hackers controlan más de una web que es responsable por la distribución de Locky y Kovter. Según este informe, esta técnica se conoce como ofuscación. Uno de los propósitos de la ofuscación puede ser contener códigos maliciosos. En este caso, esta estrategia se aprovecha para evitar las listas negras. Los investigadores explican otra característica aterradora de esta campaña de spam maliciosa, centrada en distribuir Locky y Kovter. Desde que la muestra de malware entra a un dispositivo, estará automáticamente actualizado con sus variantes más recientes.
En conclusión, esta estructura está clasificada como altamente peligrosa y no debe abrir correos aleatorios que encuentre en su bandeja de entrada. Si lo hace, las amenazas de malware tendrán un camino mucho más fácil hasta su sistema.
Fuente: blogs.technet.microsoft.com.