Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Malware tipo ransomeware ataca a usuarios de Skype
La firma de seguridad Trend Micro descubrió un nuevo gusano que ataca a usuarios de Skype con mensajes spam diseñados para infectar máquinas con el malware secuestrador Dorkbot.
El gusano se aprovecha de la API de Skype para mandar mensajes instantáneos que contienen enlaces a archivos comprimidos en formato ZIP como: skype_06102012_image.zip o skype_08102012_image.zip, los cuales alojan archivos ejecutables que actualmente son clasificados por los antivirus como "Troj/Agent-YCW" o "Troj/Agent-YDC".
De acuerdo con la definición: Ransomware es un tipo de malware en el cual el código del software bandido mantiene como rehén la sesión del usuario de la computadora hasta que la cuota del "rescate" es pagada. Dicho malware a menudo se infiltra en las PCs como un gusano de computadora o como un troyano que se aprovecha de las vulnerabilidades de seguridad expuestas. La mayoría de los ataques de ransomware son el resultado de hacer clic en un archivo adjunto que está infectado en el correo electrónico o visitar un sitio web que ha sido hackeado.
El mensaje de Skype contiene la pregunta:
"lol ésta es tu nueva foto de perfil- h__p://goo.gl/{OCULTADA}5q1sx-img=username" o
"moin, kaum zu glauben was für schöne fotos von dir auf deinem profil h__p://goo.gl/{OCULTADA}5q1sx-img=username"
Una lista de los archivos del gusano usada para propagarlo es:
hxxp ://goo.gl/SAOmJ
⇒ hxxp://hotfile.com/dl/174771453/720762e/skype_03102012_image.zip.html
hxxp://goo.gl/frbXD
⇒ hxxp://hotfile.com/dl/174868532/a8009ef/skype_04102012_image.zip.html
hxxp://goo.gl/agsIb
⇒ hxxp://hotfile.com/dl/174887318/f59c5c2/skype_04102012_image.zip.html
hxxp://goo.gl/AzaqI
⇒ hxxp://hotfile.com/dl/175002041/debb544/skype_05102012_image.zip.html
hxxp://goo.gl/QYV5H
⇒ hxxp://hotfile.com/dl/175082698/230fce5/skype_05102012_image.zip.html
hxxp://goo.gl/UPhHf
⇒ hxxp://hotfile.com/dl/175180403/4b2da19/skype_06102012_image.zip.html
hxxp://goo.gl/5q1sx
⇒ hxxp://hotfile.com/dl/175339084/d951071/skype_08102012_image.zip.html
El archivo ejecutable instala una variante del gusano Dorkbot (también conocido como NRGbot), el cual aparece para iniciar a gran escala la actividad fraudulenta por clics en cada computadora afectada, así como su reclutamiento dentro de una red de computadoras zombis (botnet). La variante de Dorkbot infecta la máquina con el ransomware que bloquea al usuario y cifra sus archivos, para poder entrar a su sesión e ir a sus archivos cobran $200 para desbloquear la máquina.
El ransomware se está convirtiendo en una herramienta cada vez más común en el arsenal de los cibercriminales.
