Ramsonware Exorcist 2.0 distribuido a través de software falso

En el monitoreo a fuentes abiertas por parte del equipo del Csirt financiero, se ha evidenciado actividad por parte del ransomware Exorcist 2.0, que realiza afectación sobre equipos de cómputo con sistema operativo Windows. El método de distribución empleado consta de la utilización de plataformas como PopCash que contienen publicidad engañosa y dirigen al usuario a sitios web para la descarga de actualizaciones de Windows 10 o la descarga gratuita de software licenciado.

Campaña denominada Kraken inyecta malware en el servicio de informe de errores de Windows

  • Publicado: 06/10/2020
  • Importancia: Media
Recursos afectados

Este malware utiliza como método de distribución mensajes de correo phishing con adjuntos comprimidos ZIP que, al ser descargado y descomprimido, libera un documento de Microsoft Word con macros embebidas maliciosas con un módulo VBA.

El módulo VBA es de CactusTorch, un reconocido malware sin archivos que carga una payload .NET directamente en la memoria del equipo infectado. Este payload se ejecuta desde la memoria sin dejar rastros en el disco duro, inyectando una shellcode en WerFault.exe.

Este es un breve resumen por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas