Contenido Exclusivo

Koler continúa infectando PCs

Desde su aparición el 23 de julio, Koler ha cambiado. El componente móvil de la campaña se alteró y el servidor de comando y control comenzó a enviar el comando ‘Desinstalar’ a las víctimas móviles, eliminando la aplicación maliciosa de los dispositivos.

Sin embargo, el resto de los componentes maliciosos para usuarios de PC, incluyendo el kit de explotación, siguen activos, según ha detectado Kaspersky Lab. La compañía sigue monitorizando activamente el malware, detectado inicialmente por el investigador de seguridad ‘Kaffeine’.

Los ciberdelincuentes que están detrás de los ataques emplearon un esquema inusual para escanear los sistemas de las víctimas y enviar ransomware personalizado en función de su ubicación y tipo de dispositivo (móvil o PC). Después de que la víctima visitara cualquiera de los más de 48 sitios web pornográficos maliciosos utilizados por los operadores de Koler, ésta era redirigida a un sistema de redirección de tráfico. El uso de una red pornográfica para la difusión de este malware no es casualidad, ya que las víctimas son más propensas a sentirse culpables tras navegar por este tipo de contenidos y a pagar la supuesta multa a las “autoridades”.

Estos sitios pornográficos redirigen a los usuarios al hub central, que utiliza el sistema de distribución de tráfico Keitaro (TDS) para redirigir a los visitantes. En función de una serie de condiciones, esta segunda redirección puede derivar en tres escenarios maliciosos diferentes:

Por un lado, la instalación del ransomware móvil Koler. En caso de usar un dispositivo móvil, el sitio web redirige automáticamente al usuario de la aplicación maliciosa. Sin embargo, el usuario todavía tiene que confirmar la descarga e instalación de la aplicación (llamada animalporn.apk) que en realidad es el ransomware Koler. Éste bloquea la pantalla del dispositivo infestado y pide un rescate de entre 100 y 300 dólares para poder desbloquearlo. El malware muestra un mensaje simulando proceder de la “policía”, por lo que es más realista.

También puede incluir la redirección a cualquiera de los sitios con ransomware en el navegador. El hub central verifica las siguientes condiciones a) el usuario es de uno de los 30 países afectados, b) no es un usuario de Android y c) la solicitud no proviene de Internet Explorer. Si los tres supuestos son afirmativos, al usuario le aparece una pantalla de bloqueo, idéntica a la utilizada para los dispositivos móviles. No hay infección en este caso, sólo un pop-up que muestra una plantilla de bloqueo y pide el pago de la multa. Sin embargo, el usuario puede fácilmente evitar el bloqueo presionando la combinación de teclas alt + F4.

Puede incluir la redirección a un sitio web que contiene el Angler Exploit Kit. Si el usuario utiliza Internet Explorer, la infraestructura de redirección utilizada en esta campaña envía al usuario a sitios que alojan el Angler Exploit Kit. Durante el análisis de Kaspersky Lab, el código de explotación era completamente funcional, pero esto puede cambiar en el futuro cercano.

“Lo que tiene mayor interés en este caso es la red de distribución utilizada en la campaña. Decenas de sitios web generados automáticamente redirigen el tráfico a un eje central mediante un sistema de distribución de tráfico en el que los usuarios son nuevamente redirigidos. Creemos que esta infraestructura demuestra lo bien organizada y peligrosa que es esta campaña. Los atacantes pueden crear rápidamente infraestructuras similares gracias a la automatización completa, cambiar el malware suministrado, y usarla contra nuevas víctimas. Los ciberdelincuentes también han ideado una serie de maneras de monetizar sus ingresos de campaña en un esquema verdaderamente multi-dispositivo”, ha explicado Vicente Díaz, Principal Security Analyst de Kaspersky Lab.
Más de 200.000 usuarios han visitado el dominio móvil infectado desde el comienzo de la campaña, la mayoría en los EE.UU. (80% – 146.650), seguido del Reino Unido (13.692), Australia (6.223), Canadá (5.573), Arabia Saudita (1.975) y Alemania (1.278).

Lo Más Reciente

Presentan guía mundial para utilizar gemelos digitales en ensayos clínicos

El ENRICHMENT Playbook es la "primera guía mundial" dirigida...

Pure Storage lanza GenAI Pod: diseños llave en mano para acelerar la innovación de IA

Pure Storage presentó una solución que proporciona diseños llave...

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente,...

Cómo impulsar el crecimiento de las empresas en la era de la IA

La inteligencia artificial está revolucionando los negocios. Sin embargo,...

Newsletter

Recibe lo último en noticias e información exclusiva.

Mireya Cortés
Mireya Cortés
Editora CIO Ediworld Online. La puedes contactar en mcortes@ediworld.com.mx

Presentan guía mundial para utilizar gemelos digitales en ensayos clínicos

El ENRICHMENT Playbook es la "primera guía mundial" dirigida a la industria de dispositivos médicos, que detalla cómo utilizar gemelos virtuales para acelerar los...

Pure Storage lanza GenAI Pod: diseños llave en mano para acelerar la innovación de IA

Pure Storage presentó una solución que proporciona diseños llave en mano construidos en su plataforma de almacenamiento de datos. Se trata de Pure Storage...

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente, siguen ejerciendo una presión cada vez mayor sobre el sector público de México. El gobierno...