Ransomware Locky y Malware Kovter (Click-Fraud) propagados juntos en correo electronico



3 de Febrero, 2017. Investigadores del Centro de Protección contra Malware de Microsoft han detectado campañas de correo electrónico malicioso utilizando archivos adjuntos .lnk para difundir el ransomware Locky y el troyano de fraude de clics Kovter, la primera vez que los criminales han distribuido simultáneamente ambas piezas de malware.

Según Microsoft, el archivo .lnk ahora admite una potente secuencia de comandos que contiene enlaces a varios dominios codificados desde los que intenta descargar el malware. Un archivo .lnk es un archivo de acceso directo que apunta a un archivo ejecutable. En este caso, los destinatarios de correo electrónico reciben un archivo adjunto .zip que contiene un archivo .lnk, que oculta un script versátil de PowerShell.

“Este nuevo script tiene nada menos que cinco diferentes dominios codificados desde los que intenta descargar el payload del malware. Además de Locky, este script también descarga ahora Kovter”, escribió Microsoft en un blog que explica su investigación.

Esta no es la primera vez que los investigadores de seguridad han visto a Locky y Kovter tan estrechamente asociados en una campaña. El mes pasado, los investigadores de PhishMe descubrieron una campaña de correo electrónico que contenía un archivo .zip similar que contenía un archivo JScript ofuscado capaz de descargar Kovter y Locky de sitios web comprometidos de Joomla.

Para evitar ser presa de esta amenaza, Microsoft sugiere que los usuarios de Windows 10 bloqueen PowerShell versión 5 a “Modo restringido”. Esto limita las características extendidas del lenguaje que pueden conducir a la ejecución de código no verificable, como scripting directo .NET, invocación de las API de Win32 a través de funciones Add-Type Cmdlet e interacción con objetos COM, dijo Microsoft.

Aquí el articulo de Microsoft.

Leave a Reply