Ransomware usando mapa COVID-19

Hemos detectado un sitio web malicioso que se encuentra activo, el cual  está distribuyendo archivos sospechosos. Los mismos ejecutan un Malware de tipo Ransomware, algunos antivirus y navegadores lo están detectando, sin embargo, sigue en línea.

Debajo del mapa vemos en botón “Download”, donde inicia la descarga hacia nuestro equipo del primer archivo”. Jnlp” el cual nos compromete nuestro equipo. Otro punto es que no tiene certificado tipo “SSL”, sin embargo ya eso no es algo determinante , ya que se ha visto el uso de certificados versión trial para páginas clonadas y engañar al usuario.

Aquí podemos ver el archivo ya descargado el cual se ejecutaría en nuestro sistema, se puede ver en la imagen el código que incluye el mismo.

Una vez se realiza esta ejecución aparece un archivo “.bin”, el cual se ejecuta por PowerShell, y así nuestro sistema cae por un ataque de Ransomware.Una vez se realiza esta ejecución aparece un archivo “.bin”, el cual se ejecuta por PowerShell, y así nuestro sistema cae por un ataque de Ransomware.

Según VirusTotal, un total de 47 sobre 72 proveedores de antivirus estan detectando el malware. Los otros 25 proveedores no lo están detectando aún.

Esto demuestra el nivel riesgo que presentan sitios de este tipo al estar en linea. Se pueden crear políticas para bloquear acceso a ese tipo de sitios.

¡Por favor seamos cautos al navegar!

Share

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Deja un Comentario