El
ransomware Khaler
dispone de 30 mensajes personalizados para las víctimas en función de
su país,. Suplanta a la
policía y pide un rescate de entre 100 y 300
dólares para desbloquear el dispositivo.
Kaspersky Lab ha detectado una parte hasta ahora oculta de la campaña
maliciosa que introdujo el
ransomware móvil ‘de la policía’ Kholer para
los dispositivos Android en abril de 2014. Esta parte incluye ransomware
basado en navegador y un kit de explotación. Desde el 23 de julio, el
componente móvil de la campaña se ha visto alterado y el servidor de
comando y control comenzó a enviar el comando ‘Desinstalar’ a las
víctimas móviles, eliminando la aplicación maliciosa de los
dispositivos.
Sin embargo, el resto de los componentes maliciosos para usuarios de PC –
incluyendo el kit de explotación – siguen activos. Kaspersky Lab sigue
monitorizando activamente el
malware, detectado inicialmente por el
investigador de seguridad "Kaffeine".
Los ciberdelincuentes que están detrás de los ataques emplearon un
esquema inusual para escanear los sistemas de las víctimas (también en
España) y enviar ransomware personalizado en función de su ubicación y
tipo de dispositivo – móvil o PC. Después de que la víctima visitara
cualquiera de los más de 48 sitios web pornográficos maliciosos
utilizados por los operadores de Kholer, ésta era redirigida a un
sistema de redirección de tráfico. El uso de una red pornográfica para
la difusión de este
malware no es casualidad, ya que las víctimas son
más propensas a sentirse culpables tras navegar por este tipo de
contenidos y a pagar la supuesta multa a las «autoridades».
Estos sitios pornográficos redirigen a los usuarios al hub central, que utiliza el sistema de distribución de tráfico
Keitaro (TDS)
para redirigir a los visitantes. En función de una serie de
condiciones, esta segunda redirección puede derivar en tres escenarios
maliciosos diferentes:
- Instalación del ransomware móvil Kholer. En caso de usar un
dispositivo móvil, el sitio web redirige automáticamente al usuario de
la aplicación maliciosa. Sin embargo, el usuario todavía tiene que
confirmar la descarga e instalación de la aplicación – llamada
animalporn.apk – que en realidad es el ransomware Kholer. Éste bloquea
la pantalla del dispositivo infectado y pide un rescate de entre 100 y
300 dólares para poder desbloquearlo. El malware muestra un mensaje
simulando proceder de la “policía”, por lo que es más realista.
- Redirección a cualquiera de los sitios con ransomware en el
navegador. El hub central verifica las siguientes condiciones a) el
usuario es de uno de los 30 países afectados, entre los que se encuentra
España b) no es un usuario de Android y c) la solicitud no proviene de
Internet Explorer. Si los tres supuestos son afirmativos, al usuario le
aparece una pantalla de bloqueo, idéntica a la utilizada para los
dispositivos móviles. No hay infección en este caso, sólo un pop-up que
muestra una plantilla de bloqueo y pide el pago de la multa. Sin
embargo, el usuario puede fácilmente evitar el bloqueo presionando la
combinación de teclas ALT + F4.
- La redirección a un sitio web que contiene el Angler Exploit Kit. Si
el usuario utiliza Internet Explorer, la infraestructura de redirección
utilizada en esta campaña envía al usuario a sitios que alojan el
Angler Exploit Kit. Durante el análisis de Kaspersky Lab, el código de
explotación era completamente funcional, pero esto puede cambiar en el
futuro cercano.
Según Vicente Díaz, Principal Security Analyst de Kaspersky Lab:
"Lo
que tiene mayor interés en este caso es la red de distribución utilizada
en la campaña. Decenas de sitios web generados automáticamente
redirigen el tráfico a un eje central mediante un sistema de
distribución de tráfico en el que los usuarios son nuevamente
redirigidos. Creemos que esta infraestructura demuestra lo bien
organizada y peligrosa que es esta campaña. Los atacantes pueden crear
rápidamente infraestructuras similares gracias a la automatización
completa, cambiar el malware suministrado, y usarla contra nuevas
víctimas. Los ciberdelincuentes también han ideado una serie de maneras
de monetizar sus ingresos de campaña en un esquema verdaderamente
multi-dispositivo".
Fuente:
DiarioTI
