Rakhni, ¿minero o ransomware?
- Actualidad
Se trata de una variante de ransomware que ha sido rediseñada para permitir a los atacantes extorsionar a las víctimas mediante un encriptador o secuestrar los ciclos de la CPU de un ordenador a través de un sigiloso criptominero.
También puedes leer... |
El troyano Rakhni, que apareció por primera vez en 2013, ahora está dando a los cibercriminales la posibilidad de infectar a las víctimas con un ransomware o un minero malicioso, según los investigadores de Kaspersky Lab. "(Los criminales) en cualquier caso intentarán beneficiarse de la víctima: extorsión directa de dinero (encriptador) o uso no autorizado de los recursos del usuario (minero)", señala Orkhan Mamedov, investigador de Kaspersky Lab. "Si hablamos de Rakhni, incluso si las dos primeras formas no son efectivas, utiliza una tercera vía: implica a la víctima en la cadena de distribución del malware (net-worm). Realmente espero que no se convierta en una tendencia".
El malware, que ha infectado mayoritariamente a ciudadanos rusos, se distribuye a través de campañas de spam. Los correos electrónicos de phishing que los investigadores inspeccionaron contenían documentos financieros corporativos falsos, lo que los llevó a creer que los principales objetivos de los delincuentes son las empresas. Después de abrir un archivo adjunto de correo electrónico, se solicita a las víctimas que habiliten la edición de lo que pretende ser un archivo PDF incrustado. Una vez que la víctima hace clic en el PDF inicia un ejecutable malicioso.
Después de la ejecución, el programa de descarga (un archivo ejecutable escrito en Delphi) muestra un cuadro de mensaje con un texto de error que pretende ser de Adobe, lo que hace que las víctimas no sospechen que se han infectado.
"Para ocultar la presencia del software malicioso en el sistema, el desarrollador de malware hizo que su creación se pareciera a los productos de Adobe Systems", explican los investigadores. "Esto se refleja en el icono, el nombre del archivo ejecutable y la firma digital falsa que utiliza el nombre Adobe Systems Incorporated”.
Una vez descargado, el malware basa su decisión de descargar el encriptador o el minero dependiendo de la presencia de una cartera de criptomonedas en los sistemas. Si existe una carpeta de este tipo, el programa de descarga decide descargar el encriptador. Mientras tanto, si la carpeta no existe y la máquina tiene más de dos procesadores lógicos, se descargará el minero.