Locky Ransomware está siendo distribuido a través de sitios de actualización de Flash Player

Los sitios de actualización falsos de Flash Player han sido durante mucho tiempo un método de distribución favorito para adware y otros programas no deseados. Hoy, un sitio falso de la actualización del flash fue descubierto por Execute Malware que está empujando el Locky ransomware. Cuando alguien visita el sitio, se le presentará una página que indica que Flash Player está desactualizado y descarga automáticamente un archivo ejecutable. Si observa atentamente la URL en la dirección del navegador, puede ver que el dominio de fleshupdate.com no parece correcto.

Fake Flash Update Web PageFake Flash Update Web Page

El ejecutable descargado automáticamente por este sitio se denomina FlashPlayer.exe e incluye un icono de reproductor flash como se ve a continuación.

Flash Icon in Downloaded FileFlash Icon in Downloaded File

Si nos fijamos en las propiedades de este archivo, sin embargo, las cosas comienzan a mirar extraño.

Locky Installer PropertiesLocky Installer Properties

En última instancia, si un usuario ejecuta este programa pensando que se actualizará Flash que será en una gran sorpresa. En lugar de una actualización de flash player, se les mostrará una nota de rescate Locky cuando el ransomware haya terminado de cifrar los archivos de la víctima.

Locky Ransom NoteLocky Ransom Note

 La información de LockyDump para la variante que probé está abajo. MalwareHunterTeam también vio una muestra usando un ID de afiliado de 19, que por lo que sabemos no se ha visto previamente.

Verbose: 0
The file is a PE EXE
affilID: 13
Seed: 9841
Delay: 30
Persist Svchost: 0
Persist Registry: 0
Ignore Russian Machines: 1
CallbackPath: /message.php
C2Servers: 85.143.212.23,185.82.217.29,107.181.174.34
RsaKeyID: 85D
RsaKeySizeBytes: 114
Key Alg: A400
Key: RSA1
Key Bits: 2048
Key Exponent: 10001

Como se puede ver, no sólo los archivos adjuntos y los kits de exploit empujan ransomware. Todo el mundo tiene que ser vigilante y cuidadoso al navegar por la web. Además, las actualizaciones del programa sólo se deben descargar de sus sitios de productos principales en lugar de sitios de terceros en los que no tiene idea de lo que está instalando.

Fuente: http://www.bleepingcomputer.com
Follow me:
Twitter
Visit Us
Facebook
Facebook
Instagram
RSS
Follow by Email

También te puede interesar

Deja un comentario

error: Content is protected !!