Los investigadores de ciberseguridad de Cybereason han descubierto que una de las últimas variantes del notorio ransomware DJVU, apodada xaro, está utilizando software crackeado como vector de distribución. Vale la pena señalar que este no es el primer caso de DJVU también conocido como DETENGA el ransomware utilizando software descifrado entregarse a las víctimas.
El ransomware Xaro se aprovecha de víctimas desprevenidas disfrazándose de archivos aparentemente inofensivos procedentes de plataformas dudosas que se hacen pasar por proveedores legítimos de software gratuito.. La táctica engañosa consiste en hacerse pasar por un sitio que ofrece software gratuito., atraer a los usuarios para que descarguen lo que parece ser un instalador benigno de CutePDF, un popular software de escritura de PDF.
PrivateLoader utilizado en la campaña
Al abrir el archivo, el supuesto instalador de CutePDF activa la activación de PrivateLoader, un servicio de descarga de malware de pago por instalación. PrivateLoader establece una conexión con un servidor de comando y control, iniciar la descarga de una variedad de familias de malware, incluidos notorios ladrones de información como Ladrón de línea roja y Vidar, así como potentes cargadores como SmokeLoader y Nymaim..
Una característica distintiva de este ataque es su “aproximación de escopeta,” donde se implementan múltiples cepas de malware simultáneamente. Esta táctica estratégica asegura el éxito del ataque., incluso si una carga útil es detectada y bloqueada por medidas de seguridad convencionales. La diversa gama de familias de malware, cada uno con capacidades únicas, subraya la complejidad del panorama de amenazas.
Fiel a su naturaleza ransomware, Xaro no solo cifra archivos dentro del host infectado sino que también implementa una instancia del robo de información Vidar.. Este enfoque de doble amenaza tiene como objetivo maximizar el impacto en los sistemas específicos., combinar el cifrado de archivos con fines de extorsión con el robo de información para posibles doble extorsión escenarios.
Al cifrar archivos, Xaro emite una nota de rescate, exigiendo un pago de $980 para la clave privada y la herramienta de descifrado. Notablemente, este monto del rescate se reduce a la mitad $490 si la víctima contacta al actor de la amenaza dentro 72 horas, añadiendo un sentido de urgencia al intento de extorsión.
Los riesgos del software gratuito de fuentes no confiables
Esta cadena de ataques sirve como un claro recordatorio de los riesgos asociados con la descarga de software gratuito de fuentes no confiables.. Mientras que los actores de amenazas prefieren cada vez más el software gratuito como método de entrega encubierto de código malicioso, Tanto los usuarios como las empresas deben estar atentos y adoptar medidas estrictas de ciberseguridad para defenderse contra estrategias de ransomware en evolución.