Se ha observado que una variante de una cepa de ransomware conocida como DJVU se distribuye en forma de software descifrado.<\/p>\n
“Si bien este patr\u00f3n de ataque no es nuevo, se han observado incidentes que involucran una variante DJVU que agrega la extensi\u00f3n .xaro a los archivos afectados y exige un rescate por un descifrador, infectando sistemas junto con una gran cantidad de cargadores de productos b\u00e1sicos y ladrones de informaci\u00f3n”, dijo el investigador de seguridad de Cybereason, Ralph Villanueva. dicho<\/a>.<\/p>\n La nueva variante ha recibido el nombre en c\u00f3digo Xaro de la firma estadounidense de ciberseguridad.<\/p>\n DJVU, en s\u00ed mismo un variante del ransomware STOP<\/a>, normalmente llega a escena haci\u00e9ndose pasar por servicios o aplicaciones leg\u00edtimos. Tambi\u00e9n se entrega como carga \u00fatil de SmokeLoader.<\/p>\n Un aspecto importante de los ataques DJVU es la implementaci\u00f3n de malware adicional, como ladrones de informaci\u00f3n (por ejemplo, RedLine Stealer y Vidar), lo que los hace m\u00e1s da\u00f1inos por naturaleza.<\/p>\n En la \u00faltima cadena de ataques documentada por Cybereason, Xaro se propaga como un archivo comprimido de una fuente dudosa que se hace pasar por un sitio que ofrece software gratuito leg\u00edtimo.<\/p>\n Al abrir el archivo, se ejecuta un supuesto binario de instalaci\u00f3n de un software de escritura de PDF llamado CutePDF que, en realidad, es un servicio de descarga de malware de pago por instalaci\u00f3n conocido como PrivateLoader.<\/p>\n PrivateLoader, por su parte, establece contacto con un servidor de comando y control (C2) para recuperar una amplia gama de familias de malware de carga y ladrones como RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig y Fabookie, adem\u00e1s de dejar caer a Xaro.<\/p>\n “Este enfoque r\u00e1pido para la descarga y ejecuci\u00f3n de malware b\u00e1sico se observa com\u00fanmente en infecciones de PrivateLoader que se originan en sitios de software gratuito o pirateado sospechosos”, explic\u00f3 Villanueva.<\/p>\n El objetivo parece ser recopilar y filtrar informaci\u00f3n confidencial para una doble extorsi\u00f3n, as\u00ed como garantizar el \u00e9xito del ataque incluso si una de las cargas \u00fatiles es bloqueada por un software de seguridad.<\/p>\n Xaro, adem\u00e1s de generar una instancia del ladr\u00f3n de informaci\u00f3n Vidar, es capaz de cifrar archivos en el host infectado, antes de enviar una nota de rescate, instando a la v\u00edctima a ponerse en contacto con el actor de la amenaza para pagar 980 d\u00f3lares por la clave privada y la herramienta de descifrado. un precio que cae un 50% a $490 si se aborda dentro de las 72 horas.<\/p>\n En todo caso, la actividad ilustra los riesgos que implica descargar software gratuito de fuentes no confiables. El mes pasado, Sucuri detall\u00f3 otra campa\u00f1a llamada Actualizaci\u00f3n falsaRU<\/a> en el que los visitantes de sitios web comprometidos reciben avisos falsos de actualizaci\u00f3n del navegador para entregar RedLine Stealer.<\/p>\n “Se sabe que los actores de amenazas prefieren el software gratuito disfrazado como una forma de implementar c\u00f3digo malicioso de forma encubierta”, dijo Villanueva. “Las redes empresariales que buscan defenderse a s\u00ed mismas y a sus datos deben comprender cuidadosamente la velocidad y la amplitud del impacto en las m\u00e1quinas infectadas”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/La-ultima-variante-de-DJVU-Ransomware-Xaro-disfrazada-de-software.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n