Una campaña de malvertising distribuye malware y ransomware

También puedes leer... Cómo evaluar las opciones de SD-WAN La Seguridad es Infinity Gestión de cuentas con privilegios para Dummies Cómo combatir las amenazas cifradas Cómo vencer al malware evasivo

Una campaña de publicidad maliciosa con carga múltiple está distribuyendo un malware que roba información, así como el ransomware GandCrab. El malware se llama Vidar, y de acuerdo con el investigador Fumik0, quien lo descubrió en diciembre, roba documentos, cookies e historiales de navegación (incluso de Tor), criptomonedas, datos de software 2FA y mensajes de texto, y además puede tomar capturas de pantalla.

Los investigadores han observado que Vidar se entrega a través de los exploit kits Fallout o GrandSoft antes del ransomware secundario GandCrab, como parte de una agresiva campaña de malvertising. En el análisis de la campaña, los investigadores vieron que Vidar busca los datos y los envía de inmediato al servidor de comando y control (C2) a través de una solicitud HTTP POST sin cifrar. Esto incluye detalles del sistema de alto nivel (especificaciones, procesos en ejecución y aplicaciones instaladas) y estadísticas sobre la víctima (dirección IP, país, ciudad e ISP) almacenadas en un archivo llamado information.txt. Este archivo se empaqueta junto con otros datos robados y se comprime antes de enviarlo al servidor C2.

Después de eso, Vidar puede descargar malware adicional, en este caso, GandCrab. Vidar ejerce la función de cargador, la cual se puede configurar dentro del panel de administración de Vidar agregando una URL directa a la carga útil. Sin embargo, no todas las instancias de Vidar (vinculadas a una ID de perfil) descargarán una carga útil adicional. En ese caso, el servidor enviará una respuesta de "ok" en lugar de una URL. Si se descarga el ransomware, los archivos de la víctima se cifrarán y el salvapantallas de la máquina se secuestrará para mostrar una imagen de la versión 5.04 de GandCrab. Todo esto ocurre un minuto después de la infección inicial con Vidar, según el investigador. Por lo tanto, no solo se roba a las víctimas, sino que también se las somete a extorsión para volver a controlar sus archivos.

"Lo que hace que esta nueva mezcla sea novedosa y potente es su esfuerzo múltiple para establecer una ruta de infección: su uso de la cadena de suministro de publicidad digital para difundir su alcance, dos kits de explotación para infectar máquinas con un nuevo troyano de robo de datos, seguido de ransomware que bloquea las máquinas de los usuarios", señala Mike Bittner, gerente de seguridad y operaciones digitales de The Media Trust.