SpriteCoin finge ser criptomoneda pero en realidad distribuye ransomware

23/01/2018

Ha surgido un nuevo ransomware que solo acepta Monero como pago, intenta engañar a sus víctimas haciéndose pasar por un mecanismo de almacenamiento de moneda virtual protegido con contraseña para SpriteCoin. Sin embargo, SpriteCoin no existe, es una criptomoneda ficticia.

De acuerdo con el laboratorio FortiGuard de Fortinet, el malware pretende ser un monedero electrónico y le pide al usuario crear su contraseña deseada. Sin embargo, no descarga cadenas de bloques, en su lugar cifra los archivos de la víctima en secreto y después exige un rescate en Monero, un tipo de criptomoneda.

Como si no fuera suficiente el daño, si se paga el rescate, durante la fase de descifrado se ejecuta otro malware con capacidad de extraer certificados, analizar imágenes y activar la cámara web de su víctima. 

Investigadores de Fortinet declararon que el archivo inicial es un ejecutable empaquetado para una evasión simple. Despliega una típica nota de rescate indicándole a su víctima que "sus archivos han sido cifrados" y solicita la cantidad de 0.3 moneros, equivalente a 105 dólares al momento en que se redactó este artículo.

"Durante nuestro análisis, hemos visto indicadores de que la muestra parece tener un motor integrado de SQLite", explicaron investigadores de Fortinet en un análisis. "Esto nos lleva a creer que está utilizando SQLite para almacenar las credenciales extraídas. El ransomware primero busca extraer credenciales de Chrome, y si no encuentra algo entonces continua e intenta acceder a donde se almacenan las credenciales en Firefox. Después busca archivos específicos que cifrar. Estos archivos entonces son cifrados con una extensión de archivo encrypted (ej.: curriculo.doc.encrypted)".

El uso de Monero, una criptomoneda de código abierto creada en 2014, señala un cambio de la ampliamente utilizada y aceptada como estándar Bitcoin en el espacio de ransomware, añadieron.

"Autores de ransomware están consientes de las tendencias y eventos actuales, y parecen estar sacando provecho de la popularidad que rodea al auge de las criptomonedas", comentaron.

Para minimizar el daño, las buenas prácticas requieren ser vigilante sobre el respaldo de archivos y realizar respaldos regularmente. Los usuarios deben almacenar estos respaldos en un dispositivo separado que no esté conectado a internet, e incluso en múltiples lugares para asegurar la redundancia.

También, ya que la interacción del usuario es necesaria para que funcione el malware, Fortinet recomienda que las compañías establezcan un programa formal de entrenamiento en seguridad e impartirlo a al menos un cuarto del personal.

Artículos relacionados: