Español | English
rss facebook linkedin Twitter

Campaña masiva de Dalexis + CTB-Locker

Campaña

En los últimos días se ha detectado una campaña masiva de SPAM en la que está siendo distribuido el downloader conocido como Dalexis. Debajo de estás lineas se puede apreciar una captura de pantalla de uno de los correos fraudulentos:




Los archivos adjuntos al correo de spam son ficheros comprimidos con extensiones .zip o .cab. En su interior contienen un archivo .scr que una vez ejecutado mostrará uno de los siguientes documentos:


  • Documento 1


  • Documento 2



  • Documento 3


Este downloader está vinculado al Ransomware CTB-Locker. Este cripto malware  se caracteriza por cifrar entre otras las siguientes extensiones de archivos: pdf, xls, ppt, txt, py, wb2, jpg, odb, dbf, md, js, pl, etc.

Así mismo es capaz de cifrar aquellas unidades de disco que estén mapeadas y sean accesibles como unidades locales.



Una vez cifrados los archivos la siguiente nota de rescate será mostrada:


Esta nota se mostrará dependiendo de la localización de la víctima en uno de los siguientes idiomas: francés, inglés, italiano, alemán y holandés. Los criminales han añadido información para guiar a la víctima en los pasos para realizar el pago del rescate




La descarga del ransomware se hace mediante un a petición a la red TOR (The Onion Router) con el fin de ocultar el contenido de la comunicación e impedir la inspección de los paquetes, esta petición se hace mediante una pasarela por lo que a simple vista parece una sesión de TLS normal.
El fichero descargado está a su vez cifrado siendo el downloader responsable de descifrarlo y lanzarlo a ejecución.

Hasta el momento hemos identificado los siguientes dominios :

•    hxxp[s]://voigt-its.de/fit/pack.tar.gz
•    hxxp[s]://scolapedia.org/histoiredesarts/pack.tar.gz
•    hxxp[s]://pleiade.asso.fr/piwigotest/pack.tar.gz
•    hxxp[s]://maisondessources.com/assets/pack.tar.gz
•    hxxp[s]://jbmsystem.fr/jb/pack.tar.gz
•    hxxp[s]://breteau-photographe.com/tmp/pack.tar.gz
•    hxxp[s]://www.cpeconsultores.com/tmp/pack.tar.gz
•    hxxp[s]://siestahealthtrack.com/media/pack.tar.gz
•    hxxp[s]://peche-sportive-martinique.com/wp-includes/pack.tar.gz
•    hxxp[s]://microneedle.com/menu_files/pack.tar.gz
•    hxxp[s]://hotel-mas-saint-joseph.com/css/pack.tar.gz
•    hxxp[s]://springtree.cba.pl/modules/cario.tar.gz
•    hxxp[s]://smartoptionsinc.com/data-test/nero.tar.gz
•    hxxp[s]://ppc.cba.pl/cache/nero.tar.gz
•    hxxp[s]://mmadolec.ipower.com/me/cario.tar.gz
•    hxxp[s]://masterbranditalia.com/downloader/cario.tar.gz
•    hxxp[s]://integritysites.net/files/nero.tar.gz
•    hxxp[s]://evalero.com/img/cario.tar.gz
•    hxxp[s]://compassfx.com/OLD/cario.tar.gz
•    hxxp[s]://collection-opus.fr/_gfx/cario.tar.gz
•    hxxp[s]://cargol.cat/IESABP/nero.tar.gz
•    hxxp[s]://bikeceuta.com/templates/nero.tar.gz
•    hxxp[s]://www.lamas.si/picture_library/upupup.tar.gz
•    hxxp[s]://wcicinc.org/flv/dostanes_do_drzky.tar.gz
•    hxxp[s]://thinkonthis.net/style/dostanes_do_drzky.tar.gz
•    hxxp[s]://stmarys-andover.org.uk/audio_files/upupup.tar.gz
•    hxxp[s]://sp107.home.pl/logs/dostanes_do_drzky.tar.gz
•    hxxp[s]://ohayons.com/dostanes_do_drzky.tar.gz
•    hxxp[s]://fotocb.de/php/upupup.tar.gz
•    hxxp[s]://dequinnzangersborne.nl/language/upupup.tar.gz
•    hxxp[s]://dariocasati.it/logs/dostanes_do_drzky.tar.gz
•    hxxp[s]://thomasottogalli.com/webtest/sancho.tar.gz
•    hxxp[s]://ourtrainingacademy.com/LeadingRE/sancho.tar.gz
•    hxxp[s]://m-a-metare.fr/media/sancho.tar.gz
•    hxxp[s]://locamat-antilles.com/memo/sancho.tar.gz
•    hxxp[s]://joefel.com/easyscripts/sancho.tar.gz
•    hxxp[s]://cds-chartreuse.fr/locales/sancho.tar.gz

Recuperación de los archivos infectados:

CTB-Locker usa un algoritmo de cifrado basado en curvas elípticas por lo que se puede considerar lo bastante fuerte como para garantizar que los ficheros no podrán ser recuperados, al menos a corto plazo.

Contramedidas

Como de costumbre la prevención es la mejor contramedida, el no abrir ficheros adjuntos en correos no solicitados y establecer una política adecuada que limite los permisos de los usuarios en las unidades compartidas de red.

Así mismo el impedir que una vez infectado el downloader pueda descargar el binario del ransomware. S21Sec analiza diariamente miles de muestras de malware la información extraída de dichas muestras alimenta el servicio de listas negras y la solución Lookwise Threat Intelligence para la detección de amenazas en la red interna de la organización.

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login