Los creadores de malware detrás de los proyectos ransomware Locky y Zepto demostraron una vez más que están trabajando todo el tiempo, no sólo para infectar cada vez más usuarios y permanecer en la cima de la tabla de ransomware, pero también están trabajando el procedimiento de infección en sí para hacer esos ataques aún más exitoso – mediante la inyección de archivos DLL.
De esta manera, estos delincuentes cibernéticos han mejorado los métodos de infección es que se centran en un “cuello de botella” muy importante - los tipos de archivos que se utilizan para llevar a cabo el cifrado y la caída de la encriptación malicioso y otros módulos de soporte del ransomware.
¿Por qué El nuevo método de infección?
El equipo detrás de la piratería Locky y zepto que siguen siendo desconocidos y han querido hasta ahora han utilizado previamente diferentes métodos de propagación, como JavaScript (.JS) archivos, también conocido como “sin archivo” ransomware y también ejecutables maliciosos y explotar los kits unido directamente en correos electrónicos y direcciones URL maliciosas. Esto ha resultado en gran éxito de infecciones porque estos archivos se bien ofuscado y difundir masivamente.
artículo relacionado: Locky, Dridex Botnet También Ha Entregado TeslaCrypt(Más información sobre las infecciones de spam Locky)
Sin embargo, a diferencia de los ejecutables utilizados anteriormente, los hackers detrás Locky ransomware vez que aún no han hecho un cambio creando la posibilidad de ejecutar un archivo .dll a través del proceso rundll32.exe. Como la mayoría de los productos antivirus no detectan actividades sospechosas, ya que tienden a establecer este proceso como una legítima y omitirá el análisis por actividades maliciosas, los sistemas se infectan con cualquiera Zepto o Locky, siendo el cifrado de archivos de víctimas.
¿Cómo funciona una DLL infección Trabajo?
Para entender cómo funciona este proceso de infección, tenemos que diseccionar lo que el proceso rundll32.exe realiza exactamente.
Originalmente, el rundll32.exe es una aplicación que se utiliza para ejecutar la llamada Dynamic Link Library (DLL) archivos, porque no tienen manera de ser ejecutado directamente. Esta es una manera y muy probablemente la técnica Locky o Zepto pueden utilizar para infectar con éxito el ordenador de la víctima. Sin embargo, A veces los programas anti-malware captura actividad sospechosa y es por eso, el virus utiliza el llamado proceso de ofuscación, haciendo que el archivo DLL para saltar las últimas definiciones de antivirus. Tales ofuscadores también conocidos como cifradores de archivos son muy caros y su capacidad de pasar inadvertida desvanece muy rápido, porque la mayoría de los programas antivirus actualizados se vuelven muy a menudo.
Locky y Zepto continuar sus campañas con más vigor
Locky y ransomware Zepto son uno de los nombres más importantes en el mundo ransomware. El uso de esos virus sugiere que el equipo detrás de ellos ha pasado mucho tiempo para mantener los virus vivos y tienen mucha experiencia en este campo, así. Un indicador de esto es que los virus siguen infectando a los usuarios y la mayoría de los virus ransomware por lo general terminan su ciclo de vida después de breves períodos de tiempo. Sin embargo, los métodos de infección siempre cambiantes (JavaScript, Los ejecutables maliciosos, fuerza bruta remoto) sugieren que Locky y Zepto están aquí para quedarse y seguir haciendo dinero a costa de los usuarios.
Ventsislav Krastev
Ventsislav es un experto en ciberseguridad en SensorsTechForum desde 2015. El ha estado investigando, cubierta, ayudando a las víctimas con las últimas infecciones de malware, además de probar y revisar software y los últimos desarrollos tecnológicos. Tener la comercialización graduado, así, Ventsislav también tiene pasión por aprender nuevos cambios e innovaciones en ciberseguridad que se conviertan en un cambio de juego.. Después de estudiar Value Chain Management, Administración de redes y administración de computadoras de aplicaciones del sistema, encontró su verdadero llamado dentro de la industria de la ciberseguridad y cree firmemente en la educación de cada usuario hacia la seguridad en línea.
Sígueme: