Nueva versión de TorrentLocker utiliza phishing de Royal Mail

torrentlocker_royal_mail-623x432

Hace tres semanas, miembros de iSIGHT Partners descubrieron un nuevo ransomware que cifra los documentos de las víctimas. Llamaron a esta nueva amenaza “TorrentLocker” y se propaga mediante mensajes de spam que contienen un enlace a una página de phishing, donde se le pide al usuario que descargue y ejecute “información para el rastreo de un envío”. En agosto, solo los australianos eran víctimas de las páginas falsas de Correo Australiano para el rastreo de envíos, pero eso ha cambiado.

Mientras los investigadores de ESET rastreaban la nueva amenaza, encontraron que este grupo de delincuentes estaba dirigiendo sus ataques a nuevas víctimas. Los usuarios del Reino Unido deberían ser conscientes de que existen páginas falsas para el rastreo de envíos por Royal Mail, que siguen activas y están distribuyendo TorrentLocker:

torrentlocker_track
Página de phishing utilizando Royal Mail

La táctica es la misma y consiste en introducir la comprobación CAPTCHA y luego hacer clic en un archivo comprimido .zip que contiene la carga ejecutable. Es interesante destacar que la página falsa de Royal Mail solo se mostrará si el visitante es de Reino Unido. El filtrado parece basarse en la dirección IP de la solicitud. Si la solicitud no proviene de una dirección IP de Reino Unido, la víctima será redirigida a google.com. Hay tres dominios nuevos que alojan la página falsa de Royal Mail:

  • royalmail-tracking.info
  • royalmail-tracking.biz
  • royalmail-tracking.org
torrentlocker_royalmail-traking_whois1
Información de registro de royalmail-tracking.info

Como se puede observar, la fecha de registro de estos dominios es el 2 de septiembre, lo que significa que esta campaña comenzó hace muy poco tiempo.

torrentlocker_track_exe_properties1
Propiedades del archivo ejecutable
torrentlocker_encrypted_files1
Archivos cifrados de las imágenes de los usuarios
torrentlocker_warning1
Advertencia que se muestra cuando se ejecuta el malware

Una vez instalado, el malware cifra los documentos de las víctimas y les exige el pago de un rescate de 350 libras esterlinas si lo pagan dentro de las primeras 72 horas o de 700 si el pago es posterior. El pago se realiza mediante una transacción de bitcoins (1,19 o 2,38 bitcoins). Para ocultar su infraestructura, el servidor web se aloja en un host .onion en la red Tor.

Con el propósito de facilitarles a las víctimas el acceso a la página web, TorrentLocker suministra vínculos a nodos Tor2Web de modo que no necesiten instalar software adicional para acceder al sitio .onion. Es interesante señalar que door2tor.org, el nombre de dominio de uno de los nodos Tor2Web mencionados, se registró hace tan solo dos semanas. Quizá su único objetivo sea permitir que las víctimas de TorrentLocker contacten con el servidor que vende el software de descifrado:

torrentlocker_onion_buy_php1
“Software de descifrado” que se vende en la red Tor

A esta amenaza se le dio el nombre TorrentLocker porque usa la llave de registro de Windows correspondiente a la aplicación “Bit Torrent” para almacenar su configuración. No tiene ninguna relación con el protocolo BitTorrent.

El rastro de las Bitcoins
torrentlocker_onion_buy_php_bitcoin1
Detalle de transacción con Bitcoins

Como descubrieron en iSIGHT Partners, la variante australiana que analizaron exigía enviar las Bitcoins a 15aBFwoT5epvRK69Zyq7Z7HMPS7kvBN8Fg. En nuestro caso, la dirección para las bitcoins cambia a 13qm2ezhWSHWzMsGcxtKDhKNnchfP5Sp3X. Si se observan las transacciones entre ambos monederos, luego se transfieren a 17gH1u6VJwhVD9cWR59jfeinLMzag2GZ43.

A partir de marzo de 2014, este monedero de Bitcoin transfirió más de 82.272 bitcoins. Con el valor del Bitcoin en el momento de redactar este artículo situado en 480 dólares, el total de transacciones asciende aproximadamente a 40 millones de dólares estadounidenses. Este monedero ya estuvo asociado a otros fraudes en el pasado, incluyendo el robo de monederos y la venta de hardware falso para extracción de Bitcoins. No sabemos si la banda de TorrentLocker es la propietaria de esta cuenta, o si se trata de algún tipo de servicio de intercambio utilizado por distintos grupos.

torrentlocker_hashtalk1
Captura de pantalla de un comentario en Hastalk (actualmente ya no está visible pero ha sido recuperado de la caché de Google)

Las soluciones de seguridad de ESET detectan esta amenaza como Win32/Filecoder.NCC o Win32/Injector.

Hashes SHA-1

  • 491C8276667074B502BD98B98C74E4515A32189B (exe)
  • 46A2426D7E062E76D49707B58A5DF28547CBC0F4 (zip)
  • 7C62651C5F4CB1C780C8E9C4692F3BF24208A61E (exe)

Traducción y adaptación del post de Marc-Etienne M.Léveillé en We Live Security.

Créditos imagen: ©Hesterjenna Photography/Flickr

Josep Albors

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..