La última campaña de distribución de Cryptowall viene acompañada de una amenaza adicional: el troyano Fareit, que está diseñado para robar nombres de usuario y contraseñas de las computadoras comprometidas, descarga malware adicional y puede ser utilizado en ataques de denegación de servicio (DDoS).

La campaña se distribuye por medio de un correo electrónico que simula provenir de una persona que busca empleo y envía un curriculum vitae. Al parecer, los creadores de malware han decidido enfocarse en las empresas.

El archivo .ZIP en cuestión contiene un archivo JavaScript (.JS), lo que debería levantar algunas sospechas al destinatario. Sin embargo, si éste lo abre, el archivo se conectará con dos URL para descargar lo que parecen ser dos archivos .JPG.

Estos últimos archivos no son imágenes, en realidad son archivos ejecutables y se inician automáticamente una vez que se descargan. Uno de ellos es una variante de Cryptowall 3.0, tan mortal como las versiones anteriores, el otro es una variante del troyano Fareit.

El ransomware cifra archivos (documentos, bases de datos, correos electrónicos, imágenes, etcétera), borrando sus copias para que las víctimas no puedan restaurar los archivos a partir de ellas y muestra la nota de rescate pidiendo 500 euros o dólares por la clave de descifrado.

"Mientras la victima está distraída con la extorsión de CryptoWall, el spyware robará credenciales almacenadas en el cliente FTP del sistema, navegadores web, clientes de correo electrónico e incluso billeteras bitcoin", señalan los investigadores de Trend Micro.

Esta es la primera vez que un cryptoransomware está acompañado de spyware. Los investigadores postulan que los cibercriminales son ahora más codiciosos o simplemente quieren tener un plan de respaldo.

"Tal vez las personas se niegan a pagar el rescate o se han vuelto más conocedoras en la protección de sus archivos", señalaron. De esta manera, aunque la víctima se niega a pagar el rescate en bitcoins, los cibercriminales todavía puede obtener dinero por el robo de carteras bitcoin existentes y vendiendo/usando cualquier información robada.

Ahora más que nunca, los usuarios deben tener cuidado al momento de evaluar la legitimidad de los mensajes de correo electrónico recibidos, sobre todo cuando no son solicitados. Comprobando los adjuntos con una solución antivirus actualizada o por medio de VirusBulletin, antes de pensar siquiera en abrirlo, si la empresa tiene un departamento dedicado a TI o de seguridad, entonces es recomendable solicitarles inspeccionar dicho correo electrónico previamente.