Especialistas de Trend Micro analizaron un conjunto de muestras de ransomware basado en CMD que parecen tener avanzadas capacidades para el robo de información confidencial, evasión de conexiones de escritorio remoto, y una función para propagarse a través de unidades físicas y correos electrónicos por igual.
Identificado como YourCyanide, este nuevo ransomware integra documentos de PasteBin, Discord y Microsoft para ocultar su carga útil antes de la etapa final de infección, además de emplear otros métodos de ofuscación y explotar las variables en cada entorno comprometido. Si bien el malware sigue en desarrollo y algunas de sus tareas siguen sin funcionar como se espera, los investigadores creen que esta variante podría evolucionar a su forma final dentro de poco.
Proceso de ataque
El diagrama mostrado a continuación describe el proceso de infección que sigue YourCyanide:
El malware se entrega como un archivo LNK que contiene un script de PowerShell para descargar el ejecutable de 64 bits “YourCyanide.exe” de Discord y ejecutarlo:
El ejecutable creará y ejecutará un archivo CMD con el nombre de archivo YourCyanide.cmd.
El archivo YourCyanide.cmd entregado contiene un script descargado de Pastebin que se guarda con el mismo nombre de archivo:
El ransomware creará una clave de registro para depuración y ejecutará advpack.dll para eliminar la carpeta que contiene el archivo CMD malicioso para eliminar los rastros del descargador de la máquina.
Una vez completada la infección, los operadores del malware envían mensajes a todos los usuarios de la red comprometida notificándoles sobre el ataque. Junto con este mensaje se envía otra nota en la que los hackers sugieren que los ataques continuarán eventualmente.
Enfoque en la evasión
El uso continuo de scripts ofuscados hace muy difícil la tarea de identificar cargas maliciosas de YourCyanide, lo que resulta muy favorable para los actores de amenazas. Aunque esta no es una técnica completamente nueva, la forma en que los operadores de esta variante de malware la utilizan hace mucho más eficaz el proceso de ofuscación.
Además, es altamente probable que los desarrolladores de este malware monitoreen continuamente informes como el elaborado por Trend Micro, recolectando información potencialmente crítica para mejorar el funcionamiento del ransomware. Como se menciona anteriormente, las muestras analizadas son versiones incompletas de YourCyanide, por lo que es difícil decir con certeza qué tan peligrosa será su versión final, así que lo más recomendable para individuos y organizaciones es mantenerse al tanto de potenciales infecciones ataques de ransomware y otras variantes de hacking.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad