Se ha observado que una variante de una cepa de ransomware conocida como DJVU se distribuye en forma de software descifrado.
«Si bien este patrón de ataque no es nuevo, se han observado incidentes que involucran una variante DJVU que agrega la extensión .xaro a los archivos afectados y exige un rescate por un descifrador, infectando sistemas junto con una gran cantidad de cargadores de productos básicos y ladrones de información», dijo el investigador de seguridad de Cybereason, Ralph Villanueva. dicho.
La nueva variante ha recibido el nombre en código Xaro de la firma estadounidense de ciberseguridad.
DJVU, en sí mismo un variante del ransomware STOP, normalmente llega a escena haciéndose pasar por servicios o aplicaciones legítimos. También se entrega como carga útil de SmokeLoader.
Un aspecto importante de los ataques DJVU es la implementación de malware adicional, como ladrones de información (por ejemplo, RedLine Stealer y Vidar), lo que los hace más dañinos por naturaleza.
En la última cadena de ataques documentada por Cybereason, Xaro se propaga como un archivo comprimido de una fuente dudosa que se hace pasar por un sitio que ofrece software gratuito legítimo.
Al abrir el archivo, se ejecuta un supuesto binario de instalación de un software de escritura de PDF llamado CutePDF que, en realidad, es un servicio de descarga de malware de pago por instalación conocido como PrivateLoader.
PrivateLoader, por su parte, establece contacto con un servidor de comando y control (C2) para recuperar una amplia gama de familias de malware de carga y ladrones como RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig y Fabookie, además de dejar caer a Xaro.
«Este enfoque rápido para la descarga y ejecución de malware básico se observa comúnmente en infecciones de PrivateLoader que se originan en sitios de software gratuito o pirateado sospechosos», explicó Villanueva.
El objetivo parece ser recopilar y filtrar información confidencial para una doble extorsión, así como garantizar el éxito del ataque incluso si una de las cargas útiles es bloqueada por un software de seguridad.
Xaro, además de generar una instancia del ladrón de información Vidar, es capaz de cifrar archivos en el host infectado, antes de enviar una nota de rescate, instando a la víctima a ponerse en contacto con el actor de la amenaza para pagar 980 dólares por la clave privada y la herramienta de descifrado. un precio que cae un 50% a $490 si se aborda dentro de las 72 horas.
En todo caso, la actividad ilustra los riesgos que implica descargar software gratuito de fuentes no confiables. El mes pasado, Sucuri detalló otra campaña llamada Actualización falsaRU en el que los visitantes de sitios web comprometidos reciben avisos falsos de actualización del navegador para entregar RedLine Stealer.
«Se sabe que los actores de amenazas prefieren el software gratuito disfrazado como una forma de implementar código malicioso de forma encubierta», dijo Villanueva. «Las redes empresariales que buscan defenderse a sí mismas y a sus datos deben comprender cuidadosamente la velocidad y la amplitud del impacto en las máquinas infectadas».