Una nueva ola de spam ha afectado a cientos de buzones de correo electrónico con archivos adjuntos maliciosos .chm para difundir al ransomware CryptoWall.

CryptoWall es una versión avanzada de CryptoLocker, un ramsoware que cifra archivos y es conocido por disfrazar su carga viral como una aplicacion o archivo no amenzante. Su carga útil (payload) cifra los archivos de las computadoras infectadas en un esfuerzo por exigir dinero a cambio de la llave para descifrar.

Investigadores de malware de Bitdefender Labs descubrieron que la explosión de correos electrónicos de febrero pasado estaban dirigidos a los usuarios de todo el mundo, incluyendo a Reino Unido, EE.UU., los Países Bajos, Dinamarca, Suecia, Eslovaquia y Australia. Tras el análisis, los servidores de spam parecen estar en Vietnam, India, Australia, Estados Unidos, Rumania y España.

"Curiosamente, en esta campaña, los atacantes han recurrido a un truco que está menos de moda pero que es altamente efectivo para ejecutar automáticamente el malware en la máquina de la víctima y cifrar sus contenidos, nos referimos a los archivos maliciosos .chm adjuntos", afirma Catalin Cosoi, Estratega Jefe de Seguridad en Bitdefender.

Catalin Cosoi añade: "CHM es una extensión para el formato de archivo HTML Compilado, un tipo de archivo usado para entregar los manuales de usuarios junto con las aplicaciones de software. Estos archivos son altamente interactivos y ejecutan una serie de tecnologias incluyendo JavaScript, que puede redirigir al usuario hacia una URL externa después de la simple apertura del CHM. Los atacantes comenzaron a explotar los archivos CHM para ejecutar automáticamente cargas maliciosas una vez que se accede al archivo. Esto tiene perfecto sentido: cuanto menos interacción del usuario, mayores serán las posibilidades de infección."

Los archivos HTML se comprimen y entregan como un archivo binario con la extensión .chm. Este formato está hecho de documentos HTML comprimidos, imágenes y archivos JavaScript, junto con una tabla con hipervínculos de contenidos, un índice y un buscador de texto completo. El falso correo electrónico que informa sobre un fax entrante dice ser de una máquina en el dominio de los usuarios. Bitdefender Labs cree que el objetivo de este enfoque es apuntar a empleados de diferentes organizaciones con el fin de infiltrarse en las redes de la empresa.

Una vez que se accede  al contenido del achivo .chm, el código malicioso descargado desde esta locación http:// *********/putty.exe se guarda a sí mismo como %temp%\natmasla2.exe y ejecuta el malware. Una ventana del símbolo del sistema se abre durante el proceso.