El ransomware TorrentLocker se vale de Dropbox para propagarse

  • Seguridad

Las nuevas variantes detectadas por Trend Micro comienzan con un e-mail que simula una factura enviada por un distribuidor de la organización donde trabaja la víctima, a la que se accede a través de un link de Dropbox. La mayoría de los ataques afectan a organizaciones europeas.

En sus predicciones para 2017, Trend Micro auguró que el ransomware seguiría evolucionando más allá de los vectores de ataque convencionales. Pues bien, la compañía acaba de informar de la reaparición del ransomware de TorrentLocker, cuyas nuevas variantes están recurriendo como método de propagación a un mecanismo que explota y abusa de las cuentas de Dropbox. Estas mantienen el mismo modus operandi que el ransomware original, aunque los cambios más significativos se dan en su nuevo método de distribución y en la manera en el que el propio malware está comprimido.

Quizá te interese...

Aplicaciones móviles: ¿listas para dar la mejor experiencia de usuario?

Mejora el rendimiento de tus apps 

La transformación de Big Data: por qué el cambio es bueno para tu negocio

Plan Digital 2020: La digitalización de la Sociedad Española

El ataque de TorrentLocker comienza con un correo electrónico que simula una factura enviada por un distribuidor de la organización donde trabaja la víctima. La factura no se envía de forma adjunta, sino que se accede a ella a través de un link de Dropbox que contiene un texto haciendo referencia a facturas o números de cuenta para parecer auténtico. El uso del Dropbox mediante un link de una URL permite a TorrentLocker traspasar los sensores del gateway, ya que el link proviene aparentemente de una página web legitima.

Una vez que el usuario pincha en el link, se descarga un archivo JavaScript que es una factura falsa, que al abrirse descarga otro archivo JavaScript en la memoria, al que seguirá la consiguiente descarga y ejecución de la carga útil de TorrentLocker en el sistema. El patrón de comportamiento que siguen las nuevas variantes TorrentLocker es que están comprimidas en instaladores NSIS para impedir su detección, una técnica que también es utilizada por otros ransomware, como Cerber.

Sólo entre el 26 de febrero y el 6 de marzo, Trend Micro detectó 54.688 correos que incluían URL dirigidas a 815 cuentas diferentes de Dropbox, la mayor parte de ellas en Europa, siendo Alemania y Noruega los países con mayor porcentaje de infecciones. Los autores del ransomware lanzaron el mayor número de ataques en los días laborables, especialmente en la franja horaria de entre las 9:00 y las 10:00 de la mañana, que es cuando los empleados generalmente comprueban sus emails.

El equipo de Trend Micro ha informado a Dropbox, cuyo equipo de seguridad asegura que todos los archivos descubiertos han sido eliminados y sus respectivos usuarios prohibidos.

 

Recomendaciones que te puedan interesar…

Plan Digital 2020: La digitalización de la Sociedad Española

Apps móviles: ¿listas para dar la mejor experiencia de usuario?

El coste de incumplir el gobierno de la información

GDPR: ¿dónde están los datos a proteger?

¿Cómo ser el mejor en Internet?

Almacenamiento Flash

7 métricas para crear mejor software y más rápido

Manual de analítica móvil

Tres elementos esenciales de TI para la pymes