Sitios de crackeo de software falsos están siendo utilizados para difundir Ransomware
Los actores de amenazas detrás del ransomware Exorcist 2.0 están utilizando publicidad maliciosa para lograr su cometido. Están redirigiendo a las víctimas a sitios falsos de crackeo de software que distribuyen su malware.
Estas revelaciones las hizo el investigador de seguridad Nao_Sec. Según él la publicidad maliciosa de PopCash está redirigiendo a los usuarios de sitios legítimos a un sitio de crackeo de software falso.
Este sitio de crackeo, que se muestra a continuación, pretende ofrecer enlaces de descarga gratuitos para programas de pago. Ofrecen software protegido por derechos de autor para que pueda usarse de forma gratuita.
Falso activador de Windows 10
Por ejemplo, en la imagen a continuación, el sitio pretende ofrecer un ‘Activador de Windows 10 2020’. El “activador” te permitirá activar Windows 10 de forma gratuita.
El archivo descargado contiene otro archivo zip protegido con contraseña y un archivo de texto que contiene la contraseña del archivo.
Al proteger con contraseña el archivo se aseguran que no sea detectado como malicioso. Es decir, permite que la descarga se realice sin que Google Safe Browsing, Microsoft SmartScreen o el software de seguridad instalado lo detecten.
Sin embargo, si se ejecuta el programa de instalación, los usuarios encontrarán que sus archivos se cifran. Es decir, el ransomware actúa en lugar de instalar el activador gratuito de Windows 10, como se muestra a continuación.
En las carpetas cifradas se incluyen notas de rescate que contienen enlaces únicos a un sitio de pago de Tor. Ahí es donde la víctima puede obtener información sobre cómo pagar un rescate.
Al visitar el sitio de pago de Tor de Excorcist, las víctimas pueden obtener el descifrado gratuito de un archivo. Esto es una forma de chatear con los actores de amenaza y el monto del rescate que deben pagar.
Desde las notas de rescate de Excorcist, hemos visto demandas de rescate desde $250 hasta $10,000. Estamos seguros de que se están exigiendo cantidades mucho mayores, dependiendo de la cantidad de archivos cifrados u otros criterios.
Táctica no tan nueva
El uso de cracks de software falsos para distribuir el malware es la misma táctica utilizada por los actores del Ransomware STOP. Esta técnica llevó a STOP a ser el ransomware activo más extendido actualmente.
Si Exorcist 2.0 continúa utilizando cracks de software falsos como método de distribución, podemos esperar ver un aumento similar de víctimas.