Descargar archivos de Internet es una
acción que hay que realizar con cierta prudencia. Los ciberdelincuentes se
aprovechan del desconocimiento y confianza ciega que muestran los usuarios para
distribuir malware. Podría decirse que esto es lo que está sucediendo en la
actualidad. Se están valiendo de documentos Word y Excel falsos para que los
usuarios descarguen un nuevo ransomware.
Aunque no se trata de una amenaza
nueva, sí es cierto que se trata de una evolución de CryptoMix. Ha tenido
bastante protagonismo en los últimos meses y parece bastante evidente que la
publicación de variantes es una forma que posee los ciberdelincuentes para
alargar la vida de esta amenaza informática. Mole es el nombre de la amenaza
que nos ocupa.
Tal y como hemos comentado al
comienzo, los ciberdelincuentes están utilizando documentos falsos de Word y
Excel para distribuir la amenaza. O lo que es lo mismo, el usuario cree que
está descargando un .docx o .xls. Sin embargo, el archivo final posee una
extensión .exe. Es decir, el instalador del ransomware que hemos citado con
anterioridad.
Es necesario mencionar que además de
esta forma de distribución también están recurriendo a complementos falsos para
la suite ofimática de Microsoft. Expertos en seguridad se han topado en
repetidas ocasiones con plugin-office.exe. Como se puede imaginar, no se trata
del instalador de un complemento.
Servicios a través de
los que se distribuye la amenaza
- Hemos precisado al principio del artículo que se están valiendo sobre todo de páginas web. Sin embargo, es cierto que no podemos dejar escapar la oportunidad para indicar que los ciberdelincuentes también están utilizando cuentas de correo electrónico que se han visto comprometidas para difundir mensajes que poseen como adjunto el instalador la amenaza, pero siempre haciendo mención a documentos de la suite de ofimática de los de Redmond o instaladores de complementos.
- Cuando el usuario realiza la apertura del archivo aparece a simple vista un mensaje de error con un texto genérico. En este mensaje el usuario solo posee la opción “OK”. En realidad, se trata de un mensaje de UAC enmascarado. Pulsando en el único botón existente el usuario otorga al instalador permisos de administrador.
- Esto desencadenará la ejecución del archivo C:\Windows\SysWOW64\wbem\WMIC.exe. Este hará uso del archivo que anteriormente se ha descargado el usuario.
- Posteriormente, el usuario visualizará un mensaje de UAC para otorgar permisos de cambios en el equipo al ejecutable citado con anterioridad. En la mayoría de los casos el usuario no se lo pensará dos veces y pulsará en la opción “Sí”.
- Aunque no lo hemos mencionado aún, indicar que esta amenaza afecta a equipos Windows con versión 7 o superiores.
- Una vez ejecutado, en primer lugar genera un ID que identificará al equipo infectado, enviado al servidor de control remoto de forma instantánea. Una vez hecho esto, comienza el cifrado de los archivos existentes en el equipo utilizando el algoritmo RSA de 1024 bits.
- La clave se almacenará en la siguiente dirección: %UserProfile%\AppData\Roaming\26E14BA00B70A5D0AE4EBAD33D3416B0.MOLE
- El problema de esta amenaza es que no solo limita la actividad al cifrado de los archivos. Posteriormente se centrará en desactivar procesos del sistema relacionados con mecanismos de seguridad, haciendo gala de los permisos de administrador de los que disfruta.
- Una vez hecho esto pasará a centrarse sobre todo en detectar copias de seguridad y puntos de restauración y proceder a su eliminación y cifrado, haciendo inútil cualquier intento por parte del usuario de recuperar el acceso a la información. Muchos expertos en seguridad, a la vista de las consecuencias recomiendan realizar una instalación limpia del equipo Windows.