Un nuevo ransomware ha sido descubierto recientemente y, entre sus características distintivas de otras amenazas similares, está el hecho de que se hace pasar por el navegador Google Chrome. Las soluciones de ESET lo detectan como Win32/Filecoder.NFR y fue analizado inicialmente por la compañía Emsisoft, que lo bautizó como Ransom32.
Opera bajo la modalidad de “Ransomware as a Service” desde un servidor oculto en la red Tor. Desde allí los cibercriminales pueden configurar qué malware infectará a la víctima, cuántos bitcoins pedirá y los mensajes amenazantes que mostrará. Además, se pueden ver las estadísticas de infecciones y de pagos efectuados. Una vez que Ransom32 se instala en el sistema y es ejecutado, depositará todos sus archivos maliciosos en la carpeta de archivos temporales, y se asegurará de ser ejecutado en cada arranque.
El archivo malicioso, chrome.exe, intenta hacerse pasar por el conocido navegador Chrome. Sin embargo, en las propiedades del archivo es posible notar que no se encuentra firmado digitalmente y que la información sobre versión y nombre del producto ha sido borrada.
Matías Porolli, Malware Analyst de ESET, explica su funcionamiento: "Una vez que el usuario ejecuta la aplicación, se realizan en el sistema afectado las actividades típicas de un ransomware, como el cifrado de los archivos, el contacto con el servidor y la aparición de un mensaje solicitando el pago del rescate".
Las extensiones que busca para cifrar son más de 100, entre ellas las más habituales para archivos de texto e imágenes como .TXT, .DOC, .JPG, .GIF, .AVI, .MOV y .MP4.
Un detalle a mencionar, que resulta otro distintivo de Ransom32, es que el ejecutable pesa alrededor de 45 MB, algo raro para el ransomware, que suele ser liviano en disco. De todas formas, esto tiene sentido al entender que se hace pasar por un navegador.
Los archivos se cifran utilizando AES con una clave de 128 bits, y se genera una nueva clave para cada archivo, según la investigación de Emsisoft. La clave es cifrada utilizando el algoritmo RSA y una clave pública que se obtiene del servidor C2 durante la primera comunicación.
Al tratarse de una variante de Filecoder, existen diferentes métodos para propagar esta amenaza:
- Sitios maliciosos
- Ataques drive-by-download
- Archivos adjuntos en correos electrónicos
- Utilizando otros troyanos de tipo Downloader o Backdoor
Para más información sobre el funcionamiento general del ransomware, no se pierdan este video:
Sigue leyendo: Todo sobre Ransomware - guía básica y preguntas frecuentes